
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


</head>


<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">


Bonsoir,


<div class=""><br class="">


</div>


<div class="">See my comments below.</div>


<div class=""><br class="">


<div class="">


<div class="">Cordialement,</div>


<div class="">Erwann Abalea</div>


</div>


<br class="">


<div>


<blockquote type="cite" class="">


<div class="">Le 4 janv. 2017 à 18:44, Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" class="">jeremy.rowley@digicert.com</a>> a écrit :</div>


<br class="Apple-interchange-newline">


<div class="">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)" class="">


<style class=""><!--


/* Font Definitions */


@font-face


        {font-family:Helvetica;


        panose-1:2 11 6 4 2 2 2 2 2 4;}


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0in;


        mso-margin-bottom-alt:auto;


        margin-left:0in;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


span.apple-converted-space


        {mso-style-name:apple-converted-space;}


span.EmailStyle19


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


<div lang="EN-US" link="blue" vlink="purple" class="">


<div class="WordSection1">


<p class="MsoNormal">Thanks Erwann for looking at this.<o:p class=""></o:p></p>


<p class="MsoNormal"><o:p class=""> </o:p></p>


<p class="MsoNormal"> - Hotspot 2.0 Root Certificates don’t follow CABF BR in the subject field; HS2.0 require « C=US, O=WFA Hotspot 2.0, CN=Hotspot 2.0 Trust Root CA - <ID#> », where CABF BR clause 7.1.2.1 has different expectations on C and O<o:p class=""></o:p></p>


<div class="">


<p class="MsoNormal">[JR] I disagree. C the O both accurately represent the CA in this case (the WFA). Although DigiCert operates a root on behalf of the WFA, I believe the CA in this case is the WFA.</p>


<div class=""><br class="">


</div>


</div>


</div>


</div>


</div>


</blockquote>


<div><br class="">


</div>


For Microsoft, it seems that the CA (organization) behind the CA (PKIX) named « C=US,O=WFA Hotspot 2.0,CN=Hotspot 2.0 Trust Root CA - 03 » is DigiCert, not the WFA.<br class="">


<br class="">


<blockquote type="cite" class="">


<div lang="EN-US" link="blue" vlink="purple" class="">


<div class="WordSection1">


<div class="">


<p class="MsoNormal"> - HS2.0 Intermediate Certificates again don’t follow CABF BR for the NameConstraints extension; HS2.0 states that this extension shall not be critical, when CABF BR states that it SHOULD be critical; please keep in mind that RFC5280 says


 it MUST be critical, CABF has reduced this requirement to a SHOULD to accommodate Apple devices; now that recent versions of MacOS and iOS support the NC extension, is it really a good sign to lower again the requirements on this extension?<o:p class=""></o:p></p>


</div>


<div class="">


<p class="MsoNormal">[JR] This is complaint with the current BRs. It doesn’t lower the requirements on the extension as no change to the BRs is required for the root to issue publicly trusted certs.</p>


</div>


</div>


</div>


</blockquote>


<div><br class="">


</div>


<div>I was hoping for a SHOULD->MUST change for this extension in a near future. Clause 7.1.2.2 contains a footnote about that.</div>


<br class="">


<blockquote type="cite" class="">


<div lang="EN-US" link="blue" vlink="purple" class="">


<div class="WordSection1">


<div class="">


<p class="MsoNormal"> - HS2.0 Intermediate Certificates let the CRLDP extension to be optional, when it’s mandatory for CABF BR<o:p class=""></o:p></p>


</div>


<div class="">


<p class="MsoNormal">[JR] This is not inconsistent. Anyone wanting to issue publicly trusted Hotspot certs would be required to have a CRLDP extension in the intermediate.</p>


</div>


</div>


</div>


</blockquote>


<div><br class="">


</div>


<div>Granted. Since it’s optional, it can be included.</div>


<br class="">


<blockquote type="cite" class="">


<div lang="EN-US" link="blue" vlink="purple" class="">


<div class="WordSection1">


<div class="">


<p class="MsoNormal"> - there has been some effort to standardize the SRVName name form (RFC4985), with (incomplete) Name Constraints matching rules. I don’t see any comparable effort for this hotspot-friendlyName name form. Since technically-constrained CAs


 is a preferred model for enterprises (and browsers), I think it’s preferable to describe the expected behaviour of a relying party facing such combinations before blindly allowing them, even more with the « shall not be critical » describe above, which will


 surely transform someday into a « I won’t implement it, it’s not critical anyway » and will bite us in the future.<o:p class=""></o:p></p>


</div>


<div class="">


<p class="MsoNormal">[JR] I4985 has been around since 2007. The WFA friendly name has only existed since 2015. I can bring up technically constrained Sub CAs with the WFA (they’d be open to it), but I do not think the lack of a standardized version of technical


 constraints creates an inconsistency between the BRs and the WFA CP. Until name constraints are fully defined for friendly names, the cert would never qualify as technically constrained, meaning an audit would be required for each publicly trusted intermediate,


 etc.  </p>


</div>


</div>


</div>


</blockquote>


<div><br class="">


</div>


<div>Technically-constrained CA certificates is already an option. Table 3 of the Hotspot 2.0 CP specs contains:</div>


</div>


</div>


<blockquote style="margin: 0 0 0 40px; border: none; padding: 0px;" class="">


<div class="">


<div>


<div>nameConstraints  Shall not be critical. The field may include one or more « dNSName » values that provide the domain range of certificates issued. Note - the SP Friendly Name and the Icon hash are included in intermediate certs issued to service providers


 and serve the function of constraining the certificate usage.</div>


</div>


</div>


</blockquote>


<div class="">


<div>But how this constraint is supposed to be applied is not defined.</div>


<div><br class="">


<blockquote type="cite" class="">


<div lang="EN-US" link="blue" vlink="purple" class="">


<div class="WordSection1">


<div class="">


<p class="MsoNormal">The only change in the BRs I’m asking for is to permit WFA otherNames. As browsers don’t currently use the otherName, they won’t be affected by the modification, especially the certs themselves would be completely compliant with the BR


 requirements.</p>


</div>


</div>


</div>


</blockquote>


<div><br class="">


</div>


<div>BR define technically-constrained CA certificates as containing an EKU without anyExtendedKeyUsage, plus the NameConstraints extension with specific requirements on dNSName, iPAddress, and DirectoryName. A CA certificate containing these extensions (EKU+NC)


 without any otherName:hotspot-friendlyName is still considered a technically-constrained certificate, not subject to a full audit in line with BR clause 8, but still capable of issuing certificates bypassing any technical constraints that should have applied


 (since they’re not defined).</div>


<div><br class="">


</div>


<div><br class="">


</div>


<div>Regarding the validation of the friendlyName, the WIPO ROMARIN is listed as a valid source, but looking at this source for trademarks listed on


<a href="http://www.wi-fi.org" class="">www.wi-fi.org</a> shows that only the WiGig CERTIFIED and associated logo are detained by the Wi-Fi Alliance. Strange.</div>


<div><br class="">


</div>


<br class="">


<blockquote type="cite" class="">


<div class="">


<div lang="EN-US" link="blue" vlink="purple" class="">


<div class="WordSection1">


<div class="">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class="">Jeremy<o:p class=""></o:p></span></p>


</div>


<div class="">


<p class="MsoNormal"><o:p class=""> </o:p></p>


<p class="MsoNormal"><o:p class=""> </o:p></p>


<div class="">


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt" class="">


<div class="">


<p class="MsoNormal">Le 3 janv. 2017 à 22:07, Jeremy Rowley via Public <<a href="mailto:public@cabforum.org" class="">public@cabforum.org</a>> a écrit :<o:p class=""></o:p></p>


</div>


<p class="MsoNormal"><o:p class=""> </o:p></p>


<div class="">


<div class="">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class="">Agreed, but this line of reasoning always leads to simply not supporting third party projects because the projects may cause issues with the CAB Forum update. IMO,


 if a group wants to use publicly trusted certs, then that group inherits all the baggage that goes with it. We really control all the cards on this one as the interoperability is one-way. What would you propose to make sure we can update requirements in the


 future?  A statement like “CAB Forum can do whatever it wants without notice” is superfluous as this is already the case.</span><o:p class=""></o:p></p>


</div>


<div class="">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class=""> </span><o:p class=""></o:p></p>


</div>


<div class="">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class="">Jeremy</span><o:p class=""></o:p></p>


</div>


<div class="">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class=""> </span><o:p class=""></o:p></p>


</div>


<div class="">


<p class="MsoNormal"><b class=""><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class="">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class=""> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class="">Ryan


 Sleevi [<a href="mailto:sleevi@google.com" class="">mailto:sleevi@google.com</a>]<span class="apple-converted-space"> </span><br class="">


<b class="">Sent:</b><span class="apple-converted-space"> </span>Tuesday, January 3, 2017 1:54 PM<br class="">


<b class="">To:</b><span class="apple-converted-space"> </span>Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" class="">jeremy.rowley@digicert.com</a>><br class="">


<b class="">Cc:</b><span class="apple-converted-space"> </span>CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" class="">public@cabforum.org</a>>; Peter Bowen <<a href="mailto:pzb@amzn.com" class="">pzb@amzn.com</a>><br class="">


<b class="">Subject:</b><span class="apple-converted-space"> </span>Re: [cabfpub] Proposed Ballot 183 - Allowing 822 Names and (limited) otherNames</span><o:p class=""></o:p></p>


</div>


<div class="">


<p class="MsoNormal"> <o:p class=""></o:p></p>


</div>


<div class="">


<div class="">


<p class="MsoNormal"> <o:p class=""></o:p></p>


</div>


<div class="">


<div class="">


<p class="MsoNormal"> <o:p class=""></o:p></p>


</div>


<div class="">


<div class="">


<p class="MsoNormal">On Tue, Jan 3, 2017 at 12:46 PM, Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" target="_blank" class=""><span style="color:purple" class="">jeremy.rowley@digicert.com</span></a>> wrote:<o:p class=""></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt" class="">


<div class="">


<div class="">


<div class="">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class="">There is a public file (in the link I provided), but it requires filling out information to access. It’s the HotSpot 2.0 Technical documentation, which includes the


 Certificate Policy (“Hostspot 2-0 (R2) OSU Certificate Policy Specification”).  The documentation is already free to anyone who wants to enter information and agree to the terms of use.  </span><o:p class=""></o:p></p>


</div>


</div>


</div>


</blockquote>


<div class="">


<div class="">


<p class="MsoNormal"> <o:p class=""></o:p></p>


</div>


</div>


<div class="">


<div class="">


<p class="MsoNormal">Ah, the many meanings of free ;) I suppose it wasn't clear that I was talking more about freedom than beer there :)<o:p class=""></o:p></p>


</div>


</div>


<div class="">


<div class="">


<p class="MsoNormal"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class=""> </span><o:p class=""></o:p></p>


</div>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt" class="">


<div class="">


<div class="">


<div class="">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif" class="">We essentially already have a liaison member from the WFA (DigiCert, Microsoft, Apple, and Google are all members).</span><o:p class=""></o:p></p>


</div>


</div>


</div>


</blockquote>


<div class="">


<div class="">


<p class="MsoNormal"> <o:p class=""></o:p></p>


</div>


</div>


<div class="">


<div class="">


<p class="MsoNormal">I wouldn't put Google in that list - none of Google's CA/B Forum participants participate in HotSpot 2.0 nor communicate developments on either side of that profile to the other party. I would suggest, to date, only DigiCert does, and only


 to the extent you've shared anything to the Forum.<o:p class=""></o:p></p>


</div>


</div>


<div class="">


<div class="">


<p class="MsoNormal"> <o:p class=""></o:p></p>


</div>


</div>


<div class="">


<div class="">


<p class="MsoNormal">Obviously, the context was that we shouldn't be introducing this to the Web PKI unless we're sure we're not going to repeat all the same mistakes we're currently going through the SHA-1 exception process - or at least trying to learn from


 them. It would be foolish to ignore the feedback we've received from those affected by SHA-1 when considering expanding that scope. <o:p class=""></o:p></p>


</div>


</div>


</div>


</div>


</div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif" class="">_______________________________________________<br class="">


Public mailing list<br class="">


<a href="mailto:Public@cabforum.org" class="">Public@cabforum.org</a><br class="">


<a href="https://cabforum.org/mailman/listinfo/public" class="">https://cabforum.org/mailman/listinfo/public</a></span><o:p class=""></o:p></p>


</div>


</blockquote>


</div>


<p class="MsoNormal"><o:p class=""> </o:p></p>


</div>


</div>


</div>


</div>


</blockquote>


</div>


<br class="">


</div>


</body>


</html>