<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body>
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>Given the goal of this ballot is to remove "any other method", and we explicitly agreed at the start of this process to simply enumerate existing practice (unless egregiously wrong), I'm not going to hold things up over my concerns.  I'd like to see any
 other method go away ASAP.</p>
<p><br>
</p>
<p>That said, this language allows "Tim's Zero Fuss Certificate Authority", which uses Random Value + "ZFCA" as the challenge, and "Tim's Zero Fuss Web Server" which simply parrots back Request + "ZFCA" for all requests for any file under .well_known/pki-validation.</p>
<p><br>
</p>
<p>I predict my product will be extremely popular, as issuance will always succeed without any configuration or manual steps.  Once my web server achieves ubiquity, it will succeed even if you accidentally use the wrong domain name in your CSR!</p>
<p><br>
</p>
<p>Basically, I don't see anywhere in the proposed text where there is a requirement that the validation method must include the essential security that account_key_thumbprint might provide.</p>
<p><br>
</p>
<p>-Tim</p>
<p><br>
</p>
<p></p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> public-bounces@cabforum.org <public-bounces@cabforum.org> on behalf of Ryan Sleevi <sleevi@google.com><br>
<b>Sent:</b> Tuesday, May 3, 2016 6:07:23 PM<br>
<b>To:</b> Richard Barnes<br>
<b>Cc:</b> CABFPub<br>
<b>Subject:</b> Re: [cabfpub] Pre-Ballot 169: Revised Validation Requirements</font>
<div> </div>
</div>
<div>
<div dir="ltr"><br>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Tue, May 3, 2016 at 3:02 PM, Richard Barnes <span dir="ltr">
<<a href="mailto:rbarnes@mozilla.com" target="_blank">rbarnes@mozilla.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div>
<div>
<div>Hey Ryan,<br>
<br>
</div>
I'm confused about where you're going here.<br>
<br>
It seems like the property that we need to remedy the flaw that Peter exposed is that the server's response cannot be generated based on the request from the CA.  It seems to me that the right response is just to make that requirement explicitly.  As I think
 JC's text does, though perhaps it could be made clearer.<br>
<br>
</div>
Do you agree with that approach, and we're just arguing about wording?  Or do you think the HTTP validation method needs to be even more prescriptive?</div>
</div>
</blockquote>
<div><br>
</div>
<div>Well, the wording is to make the HTTP validation method more prescriptive ;)</div>
<div><br>
</div>
<div>To be clear: We're discussing wording. Tim proposed some more restrictive changes, and J.C. raised the concern that ACME relies on the lax language. The question is fundamentally trying to find out what options we have to tweak wording or implementation
 - to try to close the gap so that everyone is happy.</div>
</div>
</div>
</div>
</div>
<br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information
 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.<br>
</font>
</body>
</html>