
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 12, 2018 at 1:11 PM, Jeff Ward via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="m_17038004127788920WordSection1">

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">I am submitting this request on behalf of the WebTrust Task Force.  We would like to seek clarification from the CA/B Forum on the applicability of the Baseline

 Requirements for certificates that chain to a Root in a browser root store, which are only used for TLS Web Client Authentication (i.e. the EKU includes 1.3.6.1.5.5.7.3.2 and does not include 1.3.6.1.5.5.7.3.1).<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Section 1.1 Overview states, in part, “These Requirements only address Certificates intended to be used for

<b>authenticating servers</b> accessible through the Internet”.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">This suggests that the BRs only apply to TLS Web Server Authentication.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">However, Section 7.1.2.3.f, Subscriber Certificate (extKeyUsage) states, in part, “Either the value id-kp-serverAuth [RFC5280] or id-kp-clientAuth [RFC5280] or

 both values MUST be present.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">This is quite clear that they do apply to certificates that are only for TLS Web Client Authentication, but this contradicts the Overview section.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Additionally, the word ‘server’ is used throughout the BRs without an actual definition, and it is therefore unclear of the applicability of these sectiosn to certificates

 that are only for TLS Web Client Authentication.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">For example, Section 7.1.4.2.1 Subject Alternative Name Extension:<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">“Certificate Field: extensions:subjectAltName<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Required/Optional: Required<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Contents: This extension MUST contain at least one entry. Each entry MUST be either a dNSName containing the Fully-Qualified Domain Name or an iPAddress containing

 the IP address of <b>a server</b>. The CA MUST confirm that the Applicant controls the Fully-Qualified Domain Name or IP address or has been granted the right to use it by the Domain Name Registrant or IP address assignee, as appropriate. Wildcard FQDNs are

 permitted.”<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">It is ambiguous as to whether this apples to a Client Authentication-only certificate. Additionally, there are questions on whether additional entry types (for

 example, DirName) may be acceptable in a Client Authentication-only certificate.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Our ask of the CA/B Forum would be to:<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><u></u> <u></u></span></p>

<p class="MsoNormal" style="margin-left:.5in">

<u></u><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><span>1.<span style="font:7.0pt "Times New Roman"">   

</span></span></span><u></u><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Clarify whether or not the BRs apply to Client Authentication-only certificates, and update the BRs to explicitly state whether they apply or don’t.<u></u><u></u></span></p>

<p class="MsoNormal" style="margin-left:.5in">

<u></u><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"><span>2.<span style="font:7.0pt "Times New Roman"">   

</span></span></span><u></u><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">If they do apply, then to update the BRs to ensure there is no ambiguity between a ‘server’ and a ‘client’, and if any updates need to be made to address

 different requirements for Client Authentication-only certificates.<u></u><u></u></span></p>

<p class="MsoNormal" style="margin-left:.25in"><u></u> <u></u></p>

<p class="MsoNormal">Thank you for your assistance.<u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.25in"><u></u> <u></u></p>

<p class="MsoNormal">Jeff</p></div></div></blockquote><div><br></div><div>Hi Jeff,</div><div><br></div><div>To make sure I understand this feedback - do you believe this same confusion exists if we ignore 7.1.2.3.f? That is, I'm trying to understand if that is the *source* of the confusion, or merely contributing to it. If there are other contributing factors that suggest client scope, could you clarify?</div></div></div></div>