<div dir="ltr">I guess I would be more precise: Can you specify a specific document to adhere to? A specific (public) process to evaluate?<div><br></div><div>I think finding support for this is mostly about finding ways to minimize risk for misissuance.</div><div><br></div><div>Should we expect/desire to have a liason member from the WFA? Should we encourage/require that such specifications be freely available in order to make use of / share the Web PKI? How do we avoid a situation, say, in N years, where the WFA members are asking for special exceptions to whatever the latest deprecation is?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 3, 2017 at 12:32 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-1763308945465395665WordSection1"><p class="m_-1763308945465395665m-3045134859279020391msolistparagraph"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">They don’t publish a lot of information publicly. The documentation for how they use friendly-names is here: <a href="https://www.wi-fi.org/discover-wi-fi/wi-fi-certified-passpoint" target="_blank">https://www.wi-fi.org/<wbr>discover-wi-fi/wi-fi-<wbr>certified-passpoint</a>. As WFA is an actual organization, a single mebmer saying something okay is not the same as the entity approving something, but I see your point. Perhaps something that specifies it must be ratified and published (</span><span style="font-size:7.0pt"> </span><u>For each id-wfa-hotspot-friendlyName entry, the CA MUST only include entries after receiving permission from the WiFi Alliance to utilize the id-wfa-hotspot-friendlyName type and MUST verify each entry in accordance with the requirements ratified and published by the WiFi Alliance. )?</u><u></u><u></u></p><div><div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><span class=""><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal"><b>7.1.4.2.1. Subject Alternative Name Extension </b><u></u><u></u></p><p class="MsoNormal">Certificate Field: extensions:subjectAltName <u></u><u></u></p><p class="MsoNormal">Required/Optional: Required <u></u><u></u></p><p class="MsoNormal">Contents: This extension MUST contain at least one entry. Each entry MUST be <u>one of the following entries: 1) </u><s>either </s>a dNSName containing the Fully<span style="font-family:"Cambria Math",serif">‐</span>Qualified Domain Name<u> or a Wildcard Domain Name, 2) </u><s> or </s>an iPAddress containing the IP address of a server,<u>3) a rfc822Name containing an RFC 5322 email address, 4) an otherName with a id-wfa-hotspot-friendlyName type { 1.3.6.1.4.1.40808.1.1.1 } or 5) an otherName of type SRVName as defined in RFC4986. </u> <u>T</u>he CA MUST confirm <u>each entry as follows:</u><u></u><u></u></p><p class="m_-1763308945465395665m-3045134859279020391msolistparagraph">A)<span style="font-size:7.0pt">      </span><u>For each dNSName entry, the CA MUST verify the entry in accordance with Section 3.2.2.4;</u><u></u><u></u></p><p class="m_-1763308945465395665m-3045134859279020391msolistparagraph">B)<span style="font-size:7.0pt">      </span><u>For each SRVName entry, the CA MUST verify the Name portion of the entry in accordance with Section 3.2.2.4;</u><u></u><u></u></p><p class="m_-1763308945465395665m-3045134859279020391msolistparagraph">C)<span style="font-size:7.0pt">      </span><u>For each iPAddress entry, the CA MUST verify the entry in accordance with Section 3.2.2.5;</u><u></u><u></u></p></span><p class="m_-1763308945465395665m-3045134859279020391msolistparagraph">D)<span style="font-size:7.0pt">      </span><u>For each id-wfa-hotspot-friendlyName entry, the CA MUST only include entries after receiving permission from the WiFi Alliance to utilize the id-wfa-hotspot-friendlyName type and MUST verify each entry in accordance with the requirements ratified and published by the WiFi Alliance.    </u><u></u><u></u></p><span class=""><p class="MsoNormal"> <u>As an exception to RFC5280 and X.509, dNSName entries MAY contain Wildcard Domain Names. SRVName entries MUST NOT contain Wildcard Domain Names. If a name constrained CA has a dNSNAme constrain but does not have a constraint for SRVNames, the CA MUST NOT issue certificates containing SRVNames.</u><u></u><u></u></p><p class="MsoNormal"> <s>that the Applicant controls the Fully</s><s><span style="font-family:"Cambria Math",serif">‐</span>Qualified Domain Name or IP address or has been granted the right to use it by the Domain Name Registrant or IP address assignee, as appropriate. Wildcard FQDNs are permitted. </s><u></u><u></u></p><p class="MsoNormal"> <u>For dNSNames, SRVNames, and iPAddress entries: </u><u></u><u></u></p><p class="MsoNormal">As of the Effective Date of these Requirements, prior to the issuance of a Certificate with a subjectAlternativeName extension or Subject commonName field containing a Reserved IP Address or Internal Name, the CA SHALL notify the Applicant that the use of such Certificates has been deprecated by the CA / Browser Forum and that the practice will be eliminated by October 2016. Also as of the Effective Date, the CA SHALL NOT issue a certificate with an Expiry Date later than 1 November 2015 with a subjectAlternativeName extension or Subject commonName field containing a Reserved IP Address or Internal Name. Effective 1 October 2016, CAs SHALL revoke all unexpired Certificates whose subjectAlternativeName extension or Subject commonName field contains a Reserved IP Address or Internal Name. Effective May 1, 2015, each CA SHALL revoke all unexpired Certificates with an Internal Name using onion as the right<span style="font-family:"Cambria Math",serif">‐</span>most label in an entry in the subjectAltName Extension or commonName field unless such Certificate was issued in accordance with Appendix F of the EV Guidelines.<u></u><u></u></p><p class="MsoNormal" style="margin-left:11.4pt"> <u></u><u></u></p></span></div></div></blockquote></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></blockquote></div><br></div>