<div dir="ltr">Define valid?<div><br></div><div>Yes, it's totally fine to use the OID as a policy signifier in a way that will not (negatively) impact validation, unless you attempt to positively assert "Valid for this OID"</div><div><br></div><div>What I mean is that the leaf can use a number of OIDs to express the policies upon which it was issued/validated. If the intermediate lacks those OIDs, then you will not be able to validate (using RFC 5280) rules for that specific policy OID (e.g. if you say "Tell me if this cert is valid for this policy OID"), BUT that doesn't negatively impact policy validation to have that OID (e.g. if you say "Tell me if this cert is valid")</div><div><br></div><div>The subtlety here is whether or not it's conforming with the purpose of policy OIDs, and whether or not we should overload that. There's an argument that "Ah yes, we all know how to add policy OIDs" which makes it quite appealing, but on the other hand, it creates the 'intentional incorrectness' if the intermediate lacks these policy OIDs (as one would presume).</div><div><br></div><div>I don't have _strong_ feelings about it, but was proposing a way that we could do it "right" (new extension). If there are reasons within the technical infrastructure that would make this difficult/impossible to do in a timely fashion, certainly, the policy OID offers a solution, even if 'technically' incorrect.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 2, 2017 at 6:02 AM, Rob Stradling via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 02/05/17 10:23, Gervase Markham via Public wrote:<br>
</span><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 02/05/17 10:18, Rob Stradling via Public wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Or you could embed all of this into a single Certificate Policy OID.<br>
</blockquote>
<br>
(off-list)<br>
<br>
Would that not be problematic if, as a previous message in the thread<br>
noted, there wasn't an anyPolicy OID in the intermediate? Or am I<br>
misunderstanding how this works?<br>
</blockquote>
<br></span>
Hi Gerv.  I was about to reply "Oh yeah, you're right", but I thought I'd first take another look at RFC5280 Section 6 (Certificate Path Validation)...<br>
<br>
I *think* each of the policy OIDs in a leaf cert are processed independently.  That is, as long as at least 1 of the OID(s) matches the expected set, it's valid.<br>
<br>
But please seek a second opinion on that.  I'm far from confident that I understand correctly.  :-)<span class="im HOEnZb"><br>
<br>
-- <br>
Rob Stradling<br>
Senior Research & Development Scientist<br>
COMODO - Creating Trust Online<br>
<br></span><div class="HOEnZb"><div class="h5">
______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/l<wbr>istinfo/public</a><br>
</div></div></blockquote></div><br></div>