<div dir="ltr">On Thu, Aug 16, 2018 at 3:10 PM Geoff Keating <<a href="mailto:geoffk@apple.com" target="_blank">geoffk@apple.com</a>> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>I see we’re changing "The CA determines that any of the information appearing in the Certificate is inaccurate or misleading” to remove “or misleading”.<div><br></div><div>With that change, is there still an equivalent for non-wildcard certificates of the "a Wildcard Certificate has been used to authenticate a fraudulently misleading subordinate Fully-Qualified Domain Name” requirement?</div></div></blockquote><div><br></div><div>No, I don't believe there is any direct equivalent for non-wildcard names, although there are other reasons that may apply such as "The CA obtains evidence that the Certificate was misused" and "The CA is made aware that a Subscriber has violated one or more of its 
material obligations under the Subscriber Agreement or Terms of Use".</div><div><br></div><div>The reasoning behind removing "or misleading" was the overly subjective nature of the term and the potential to use this clause for censorship as discussed at length in relation to the Stripe, Inc (Kentucky) demonstrations: <a href="https://groups.google.com/d/msg/mozilla.dev.security.policy/NjMmyA6MxN0/asxTGD3dCAAJ" target="_blank">https://groups.google.com/d/msg/mozilla.dev.security.policy/NjMmyA6MxN0/asxTGD3dCAAJ</a><br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div>  This was intended to cover cases where the subordinate name is made to look like someone else’s domain or otherwise suspicious, but it applies equally to non-wildcard certificates—I noticed these just now from CT:</div><div><br></div><div>url: <a href="http://validation-apple.sytes.net" target="_blank">validation-apple.sytes.net</a><br>url: <a href="http://manageaccountlogin.serveirc.com" target="_blank">manageaccountlogin.serveirc.com</a><br>url: <a href="http://iockedaccount-veri.servehttp.com" target="_blank">iockedaccount-veri.servehttp.com</a><br>url: <a href="http://cancel-paypalpaymnt.serveirc.com" target="_blank">cancel-paypalpaymnt.serveirc.com</a><br>url: <a href="http://apple1id-secure.servehttp.com" target="_blank">apple1id-secure.servehttp.com</a><br>url: <a href="http://paypal-loginaccount.serveirc.com" target="_blank">paypal-loginaccount.serveirc.com</a><br><br>I will be raising a more general case with the CA involved about the use of stop words, but some will always need to be revoked after issuance when it becomes apparent exactly who ‘manageaccountlogin’ is impersonating, for example.<br><div><br></div></div></div></blockquote></div></div>