<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 27, 2017 at 12:35 PM, Peter Bowen <span dir="ltr"><<a href="mailto:pzb@amzn.com" target="_blank">pzb@amzn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">First, the modules in the current X.520 SelectedAttributes module all use UnboundedDirectoryString, while we expect upper bounds on some strings. </blockquote><div><br></div><div>Fair enough, although RFC 5280 defines these upper bounds, and 5280 is normative. I think the subtlety of 5280 vs X.520 may be lost for some members, so I think it's reasonable here, although RFC 5912 may be suitable for incorporation.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"> Second, the BRs and EVGs have redefined the content of the attributes vis-a-vis X.520, so I think it makes sense to have our own version.</blockquote><div><br></div><div>I think this is a much more compelling argument, since we've certainly seen some confusion from members with respect to the normative constraints of what this content must cover. Despite the Baseline Requirements defining rules for the validation/verification of this information, the question of what this contains (e.g. "country") is surprisingly one that's tripped up more than a few member CAs.</div><div><br></div><div>Thanks for pointing out both of these issues.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
> I found a couple of errors in the tor appendix.  I think I got the intent right, but can someone please confirm?<br>
><br>
> Can you clarify the errors you see? A quick visual scan only shows the differences being the introduction of the EXTENSION .. IDENTIFIED BY syntax, is that correct?<br>
<br>
</span><span class="gmail-">cabf-caSigningNonce OBJECT IDENTIFIER ::= { cabf 41 }<br>
</span><span class="gmail-">cabf-applicantSigningNonce OBJECT IDENTIFIER ::= { cabf 42 }<br>
<br>
</span>Both of these use a “cabf” definition, but this is not defined anywhere.  I was guessing it is<br>
<span class="gmail-">cabf ID ::= { joint‐iso‐itu‐t(2) international‐organizations(<wbr>23) ca‐browser‐forum(140) }<br>
<br>
</span>However it could mean something under 2.23.140 (eg. 2.23.140.3 or so).<br></blockquote><div><br></div><div>Ah, good point! I believe the 'intent' was 140.1 (consistent with the .onion extension). Jeremy, given that DigiCert is issuing these certificates, can you clarify what you've done in production? </div><div><br></div><div>Note, it was a 'bug' that we put the .onion extension on the .1 arc, since .1 is for policies at <a href="https://cabforum.org/object-registry/">https://cabforum.org/object-registry/</a></div></div></div></div>