
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 1, 2017 at 12:43 AM, Dimitris Zacharopoulos <span dir="ltr"><<a href="mailto:jimmy@it.auth.gr" target="_blank">jimmy@it.auth.gr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  

    

  

  <div bgcolor="#FFFFFF" text="#000000"><div><div class="h5">

    <div class="m_1781538789454312119moz-cite-prefix">On 1/3/2017 10:22 πμ, Ryan Sleevi

      wrote:<br>

    </div>

    <blockquote type="cite">

      <div dir="ltr"><br>

        <div class="gmail_extra"><br>

          <div class="gmail_quote">On Tue, Feb 28, 2017 at 11:36 PM,

            Dimitris Zacharopoulos via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span>

            wrote:

            <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

              <div bgcolor="#FFFFFF" text="#000000"> Perhaps changing

                the "Root CA Certificate" as "A CA Certificate in which

                the Public Key has been digitally signed by its

                corresponding Private Key with the intention to be

                distributed by Application Software Suppliers as a trust

                anchor". Would that work? <br>

              </div>

            </blockquote>

            <div><br>

            </div>

            <div>I think this would be a step in the wrong direction. As

              we know from the discussions about the scope of the BRs,

              "intent" is something that is hard to audit and hard to

              document. We should avoid such definitions, and focus on

              clear technical definitions. </div>

          </div>

        </div>

      </div>

    </blockquote>

    <br></div></div>

    I agree with the general concept but this is a special case because

    when you perform a Root Key Ceremony, the CA Certificate is not part

    of any Trust store. Any language that would make this better is

    welcome.</div></blockquote><div><br></div><div>Always require the auditor to attest that any Key Pairs, for any CA Certificate, be accompanied with a Qualified Auditor attesting that the CA followed its Key Generation Script.</div><div><br></div><div>Would we really want to have a process where a Key Pair is generated using means that no one independently verifies as compliant with either the Key Generation Script or the CP/CPS? That's how you end up with a rogue sub-CA (for example, failing to take appropriate protections for the generated Key Pair) </div></div></div></div>