<div dir="ltr">Using the BRs 1.4.1 (e.g. setting aside the discussion of Ballots 180 - 182)<div><br></div><div>It would be helpful to step back and first evaluate what the Baseline Requirements require of the CA:</div><div><br></div><div>Section 3.2.2.5 of the BRs notes the acceptable ways to validate control over an IP address.<br></div><div>Method 1 requires a practical demonstration of control - not documentation.</div><div>Method 2 requires documentation from IANA or the RIR - for which it sounds like the Applicant (a subscriber of the Cloud Service Provider's service) wouldn't be able to provide, because IANA/RIR's interaction were with the Cloud Service Provider. Of course, if the Cloud Service Provider isn't delegated the IP range (unlikely, given that they're a cloud provider, they likely are the RIR's point of contact and advertise that prefix over a variety of ISPs/ASes), they wouldn't be able to provide that documentation - but it sounds like Method 2 is a complete wash for your case (because Applicant != Cloud Service Provider)</div><div>Method 3 requires a practical demonstration of control - not documentation.</div><div>Method 4 is... well, it's 'any other method', but of note here is whether or not documentation from the Cloud Service Provider meets the bar set out in Method 2 (or the other methods). I would like to suggest that it does not.</div><div><br></div><div>So to issue this certificate, it seems like your best, easiest, and avoiding any form of paper documentation would be to employ one of either method 1 or Method 3. Does that not work?</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 4, 2017 at 6:21 PM, 张翼 via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="ZH-CN" link="black" vlink="black"><div class="m_-2084594990000481138WordSection1"><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Greetings,<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I want to discuss what should CA do if subscriber provide proof that their IP address belong to a Cloud Service Provider.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">If subscribers that purchase Cloud service from a Cloud Service Provider (Such as Aliyun in China), and they have contract that indicate the IP address they are using is from the  Cloud Service Provider.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">But such contract or related document cannot prove that the IP address is from which ISP.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">In this case,  the certificate application material from users do not contain information about ISP, the Cloud Service Provider may signed many contracts with different ISP, those contract or agreement do not contain any specific IP address or IP range.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">In addition Cloud Service Provider refuse to provide contracts between them and ISP to CA because it’s confidential.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">What we are trying to do is verify IP address belong to the Cloud Service Provider via public channel (Such as IP address tools).<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d">（</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">No Certificate in this case issued yet</span><span style="font-size:11.0pt;color:#1f497d">）</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">In this case:<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">1, Should this be sufficient to issue certificate?(1,files that prove IP is subscriber applied from Cloud Service Provider. 2,Public tools indicate this IP belongs to this Cloud Service Provider)<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">2,Should CA take further actions such as contact ISP directly?(Note that this IP address can be from any ISP in the world, public IP address tools do not take any responsibility for “Bugs” or inaccurate info)<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">3,Any more document  CA should request from subscriber, Cloud Service Provider or ISP?<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Regards.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><a name="m_-2084594990000481138_OLE_LINK10"></a><a name="m_-2084594990000481138_OLE_LINK11"></a><a name="m_-2084594990000481138_OLE_LINK12"></a><a name="m_-2084594990000481138_OLE_LINK13"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">Zhang Yi<u></u><u></u></span></a></p><p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">Certificate Division Competent<u></u><u></u></span></b></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">China Financial Certification Authority <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">Business Department<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">Address: 20-3 PingYuanLi,CaiShiKou South Avenue, XiCheng District, Beijing, P.R.China<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">Postcode: 100054<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">TEL: <a href="tel:+86%2010%205095%205017" value="+861050955017" target="_blank">+86 010-50955017</a><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">Mobile: <a href="tel:+86%20185%201028%200028" value="+8618510280028" target="_blank">+86 18510280028</a><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">Email: </span><a href="mailto:zhangyi@cfca.com.cn" target="_blank"><span lang="EN-US" style="font-size:11.0pt;color:#1f497d">zhangyi@cfca.com.cn</span></a><span lang="EN-US" style="font-size:11.0pt;color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p></div></div><br>______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
<br></blockquote></div><br></div>