
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 2, 2018 at 10:35 AM, Phillip via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">To clarify what Paul said,<br>

<br>

We need to distinguish between the use of a port for certificate validation<br>

and the use of a port for delivery of an Internet service. The fact that we<br>

use SSL on every port to provide a service does not mean that we should<br>

allow that use for validation.<br></blockquote><div><br></div><div>On what basis do you make this claim? I see no justification for the distinction, nor support for the 'fact'.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I do think we should consider adding a DNS prefix for certificate validation<br>

though because ports are the old way to advertise services and does not<br>

scale. We ran out of ports a long time ago and now use DNS prefixes and<br>

.well-known HTTP services to extend the port numbers.<br>

<span class="im HOEnZb"><br>

<br>

-----Original Message-----<br>

From: Public [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@<wbr>cabforum.org</a>] On Behalf Of Paul Hoffman<br>

via Public<br>

</span><span class="im HOEnZb">Sent: Friday, March 2, 2018 10:08 AM<br>

To: Ben Wilson <<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>>; CA/Browser Forum Public Discussion<br>

List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>

</span><div class="HOEnZb"><div class="h5">Subject: Re: [cabfpub] [Ext] BR Authorized Ports, add 8443<br>

<br>

On Mar 1, 2018, at 7:51 AM, Ben Wilson via Public <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>

wrote:<br>

><br>

> Forwarding from Richard Wang:<br>

><br>

> The current BRs say:<br>

><br>

> Authorized Ports: One of the following ports: 80 (http), 443 (http), 25<br>

(smtp), 22 (ssh).<br>

><br>

> But many internal networks use the port 8443, broadly used in Apache<br>

server, today, one of our customers uses this port and can't change to use<br>

another port, I wish you can help to add this port 8443 to be allowed in the<br>

BRs, thanks.<br>

<br>

It appears that the BRs currently are talking about authorizing *services*,<br>

not ports. That is, I would not expect to be able to put a HTTP server on<br>

port 22 on my system and have that considered authorized by the BRs.<br>

<br>

Any Internet service can be run on any port. Every web, SMTP, and SSH server<br>

software configuration allows you to run on the standard ports or any port<br>

you choose.<br>

<br>

Two suggestions:<br>

<br>

- Clarify the BRs to say "Authorized Services and Ports"<br>

<br>

- Add text that says only the authorized ports may be used<br>

<br>

If CABF folks want to allow issuance of certificates for services on ports<br>

other than the standard ports, you will have to decide what it means to<br>

initially offer a service on one part and then move it to another port. The<br>

PKIX standard does not allow encoding of port numbers for services in<br>

certificates.<br>

<br>

--Paul Hoffman<br>

______________________________<wbr>_________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>

<br>

______________________________<wbr>_________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>

</div></div></blockquote></div><br></div></div>