
<div dir="ltr">Kirk,<div><br></div><div>The point is to remove the degree of "CA discretion" that you suggest, to ensure there's a normalized, reasonable, and reliable set of options for domain holders. As Rick noted in the introduction, this is certainly one of the concerns with allowing redaction.</div><div><br></div><div>For example, it would be undesirable for a CA to allow redacted certificates, and then say "No, we won't revoke, because that's what our privacy policy says." The concern is related to CA's interpretation of those sections, and ensuring that we avoid any areas for CAs to interpret in a way conflicting with community norms.</div><div><br>So I don't believe the current sections provide sufficient recourse - especially as discussed in the discussions Rick linked to.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 11, 2016 at 6:22 PM, Kirk Hall via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="m_-9154426271699803564WordSection1">

<p class="m_-9154426271699803564Default"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">As I read through the string, remember that we all have a Privacy Policy (BR 9.4 covers this, although we presently have no BR stipulations on privacy policies).  So whatever

 we decide to do in responding to information requests from claimed domain owners will have to comply with our individual Privacy Policies (which may need to be modified). 

<u></u><u></u></span></p>

<p class="m_-9154426271699803564Default"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>

<p class="m_-9154426271699803564Default"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">WebTrust for CAs has this general statement: “The Certification Authority must disclose its key and certificate life cycle management business and information privacy practices”

 and Requirement 6.6 on Certificate Revocation says “The CA maintains controls to provide reasonable assurance that certificates are revoked, based on authorized and validated certificate revocation requests within the time frame in accordance with the CA’s

 disclosed business practices.“<u></u><u></u></span></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">We already have some BR provisions 4.9.2 through 4.9.5 on who can request revocation, and the process the CA is required to follow.  See below.  Does this adequately cover your straw man situations below?  Don’t many of your situations

 fit within the language for reporting Certificate Problem Reports?  (“I see this cert you issued for a domain I own – I don’t remember or recognize it.”)  I think it may be best for the CA to set up its own internal procedures for how it will respond to this

 type of Report, and then make sure the Subscriber Agreement and Privacy Policy allow what the CA wants to do.<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">4.9.2. Who Can Request Revocation<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">The Subscriber, RA, or Issuing CA can initiate revocation. Additionally, Subscribers, Relying Parties,<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">Application Software Suppliers, and other third parties may submit Certificate Problem Reports informing the<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">issuing CA of reasonable cause to revoke the certificate.<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">4.9.3. Procedure for Revocation Request<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">The CA SHALL provide a process for Subscribers to request revocation of their own Certificates. The process<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">MUST be described in the CA’s Certificate Policy or Certification Practice Statement. The CA SHALL maintain a<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">continuous 24x7 ability to accept and respond to revocation requests and related inquiries.<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">The CA SHALL provide Subscribers, Relying Parties, Application Software Suppliers, and other third parties with<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">clear instructions for reporting suspected Private Key Compromise, Certificate misuse, or other types of fraud,<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">compromise, misuse, inappropriate conduct, or any other matter related to Certificates. The CA SHALL publicly<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">disclose the instructions through a readily accessible online means.<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">4.9.4. Revocation Request Grace Period<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">No stipulation.<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">4.9.5. Time within which CA Must Process the Revocation Request<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">The CA SHALL begin investigation of a Certificate Problem Report within twenty-four hours of receipt, and decide<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">whether revocation or other appropriate action is warranted based on at least the following criteria:<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">1. The nature of the alleged problem;<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">2. The number of Certificate Problem Reports received about a particular Certificate or Subscriber;<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">3. The entity making the complaint (for example, a complaint from a law enforcement official that a Web site is<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">engaged in illegal activities should carry more weight than a complaint from a consumer alleging that she didn’t<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">receive the goods she ordered); and<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText" style="margin-left:.5in">4. Relevant legislation. <u></u><u></u></p><div><div class="h5">

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">-----Original Message-----<br>

From: Public [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@<wbr>cabforum.org</a>] On Behalf Of Peter Bowen via Public<br>

Sent: Monday, October 10, 2016 8:35 PM<br>

To: Rick Andrews <<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>><br>

Cc: <a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a><br>

Subject: Re: [cabfpub] Recourse for domain owners who discover unknown certificates issued to their domain</p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> On Oct 10, 2016, at 5:31 PM, <a href="mailto:public@cabforum.org" target="_blank">

<span style="color:windowtext;text-decoration:none">public@cabforum.org</span></a> wrote:<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> <u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> During the discussions about CT name redaction ([1], [2]), it became

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> clear that there is no formal policy regarding what actions a CA

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> should take if a domain owner approached the CA to get information

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> about a certificate issued by the CA for a domain owned by the domain

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> owner. We'd like to start a discussion to craft such a policy. Note

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> that this is not specific to name redaction. A domain owner might

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> discover a non-redacted certificate in a CT log or public web crawl,

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> and if the owner doesn't recognize the certificate, they should be

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> able to get detailed information from the CA so that the domain owner

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">> can determine if the cert was properly issued, and request revocation if it was not.<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">Rick,<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">Before we discuss how we authenticate the domain registrant, I think need to discuss what a CA must do when so asked by a domain registrant.<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">As a straw man, I’m going to suggest that an authenticated domain registrant can do the following:<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">- Require revocation of a certificate containing a FQDN or Wildcard DN under their registered domain by providing the CA the issuer DN and serial number of the certificate<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">- Require revocation of all certificates containing a FQDN or Wildcard DN under their registered domain or a portion of the namespace under their registered domain<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">- Authorize the issuance of certificates containing a FQDN or Wildcard DN under their registered domain

<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">- Require the CA to only allow certain named people or email addresses to authorize future issuance<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">The registrant cannot:<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">- Require the CA to provide a list of all certificates containing a FQDN or Wildcard DN under their registered domain<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">- Require the CA to provide details on the applicant/subscriber for a certificate containing a FQDN or Wildcard DN under their registered domain<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">- Require the CA to provide an unredacted version of a redacted certificate containing a FQDN or Wildcard DN under their registered domain<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">To come up with this list, I considered the situation where domain foo.example is registered to Alice (potentially using a proxy as the registrant).  Mallory is a nefarious individual and wants to bring harm to Alice or Alice’s organization. 

 Mallory manages to take over foo.example (either due to Alice letting it expire or via domain transfer fraud) and then proceeds to contact CAs to get info about foo.example and Alice.  What should a CA be required to release?<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">Thanks,<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">Peter<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><u></u> <u></u></p>

<p class="m_-9154426271699803564MsoPlainText">______________________________<wbr>_________________<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText">Public mailing list<u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><a href="mailto:Public@cabforum.org" target="_blank"><span style="color:windowtext;text-decoration:none">Public@cabforum.org</span></a><u></u><u></u></p>

<p class="m_-9154426271699803564MsoPlainText"><a href="https://cabforum.org/mailman/listinfo/public" target="_blank"><span style="color:windowtext;text-decoration:none">https://cabforum.org/mailman/<wbr>listinfo/public</span></a><u></u><u></u></p>

</div></div></div>

</div>


<br>______________________________<wbr>_________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>

<br></blockquote></div><br></div>