<div dir="ltr">Just a question - <div>if a certificate that is being checked for revocation does not contain a cDP, how will requiring iDP in the CRL assist in preventing a CRL substitution attack? If you don't have the correct cDP for a given certificate how will the iDP in that sharded CRL provide assurance that the RP is looking at the correct CRL?<div><br></div><div>thanks,<br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><p class="MsoNormal"><span style="font-family:"Segoe Script",sans-serif">Wendy</span></p><p class="MsoNormal"><br></p><p class="MsoNormal">Wendy Brown</p>

<p class="MsoNormal">Supporting GSA</p><p class="MsoNormal">FPKIMA Technical Liaison</p>

<p class="MsoNormal">Protiviti Government
Services</p>

<span style="font-size:11.0pt;font-family:"Calibri",sans-serif">703-965-2990 (cell)</span><br></div></div></div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Oct 14, 2022 at 1:05 PM Aaron Gable via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi all,<div><br></div><div>Based on a long discussion[1] on MDSP, I've come to the conclusion that it would be good for the BRs to specifically mandate that sharded/partitioned CRLs include the Issuing Distribution Point extension and its distributionPoint field. This is both because the field is important to defend against replacement attacks, and because RFC 5280's language seems to actually say something different and has led to a long discussion on interpretation.</div><div><br></div><div>To this end, I would like to propose a ballot to include explicit language to this effect in the BRs:</div><div><br></div><div><a href="https://github.com/cabforum/servercert/pull/396" target="_blank">https://github.com/cabforum/servercert/pull/396</a><br></div><div><br></div><div>Clint Wilson at Mozilla has kindly agreed to endorse; I'm seeking a second endorser (and any thoughts and opinions on the ballot text itself, of course!) so that it can be assigned a ballot number and officially open the discussion period.</div><div><br></div><div>Thanks,</div><div>Aaron</div><div><br></div><div>[1] <a href="https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/qhrGxLvyreU" target="_blank">https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/qhrGxLvyreU</a></div></div>
_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>