<div dir="ltr">Fantastic, thanks. I'll replicate my original email analysis as a bug in the servercert repo so we can return to it in the future.<div><br></div><div>Thanks,</div><div>Aaron</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 15, 2023 at 12:38 PM Corey Bonnell <<a href="mailto:Corey.Bonnell@digicert.com">Corey.Bonnell@digicert.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-5248672892783638806"><div lang="EN-US" style="overflow-wrap: break-word;"><div class="m_-5248672892783638806WordSection1"><p class="MsoNormal">I agree with Ryan that the most expedient approach is to record Aaron’s finding as a future improvement and proceed with the profiles ballot without any changes to 4.9.10.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thanks,<u></u><u></u></p><p class="MsoNormal">Corey<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in"><p class="MsoNormal"><b>From:</b> Servercert-wg <<a href="mailto:servercert-wg-bounces@cabforum.org" target="_blank">servercert-wg-bounces@cabforum.org</a>> <b>On Behalf Of </b>Ryan Dickson via Servercert-wg<br><b>Sent:</b> Wednesday, February 15, 2023 3:25 PM<br><b>To:</b> Aaron Gable <<a href="mailto:aaron@letsencrypt.org" target="_blank">aaron@letsencrypt.org</a>>; CA/B Forum Server Certificate WG Public Discussion List <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br><b>Subject:</b> Re: [Servercert-wg] Profiles, Precertificates, and OCSP<u></u><u></u></p></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">Hi Aaron,<br><br>Thanks for raising this opportunity for improvement.<br><br>My preference is that we add this as an issue tracked in GitHub, and we look to address it in a follow-up cleanup to the profiles ballot. <br><br>I suspect that despite everyone's best effort in their review of SC-062, given the sheer number of changes covered by the ballot's existing scope, we will find minor nits and other improvements like this that should be incorporated into the BRs. To help avoid scope creep (and end the three year saga of initial updates), we agreed at the Validation Subcommittee meeting a few weeks ago that we should prevent expanding the existing ballot scope to ensure the ecosystem can benefit from the current set of changes. All the while, we recognized there is continued opportunity for improvement in the future.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">As an alternative, I can stage the proposed change in our proposal to "<a href="https://url.avanan.click/v2/___https:/github.com/cabforum/servercert/pull/414___.YXAzOmRpZ2ljZXJ0OmE6bzowZmZjM2ZlYTA1ODcyMDRlMzhjN2YwZWM5ZDFmNDE2Mzo2OjJjODg6ZWU1OTNiYzg5MmU3NGViMTRmMzZkMWNmNDFiY2IwY2MxNjgwNDU1ZDE5NGZlNGVmYjE0OTBmNDFkYmI4ODEyMzpoOkY" title="Protected by Avanan: https://github.com/cabforum/servercert/pull/414" target="_blank">Make OCSP Optional</a>" - which lightly touches 4.9.10 (no guarantee this potential ballot will pass a vote, though).<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">If others think the profiles ballot should instead address the issue, I'm happy to help get the changes into the existing <a href="https://url.avanan.click/v2/___https:/github.com/cabforum/servercert/pull/373___.YXAzOmRpZ2ljZXJ0OmE6bzowZmZjM2ZlYTA1ODcyMDRlMzhjN2YwZWM5ZDFmNDE2Mzo2OjVlY2Y6YTRlZTU3YmJlMTgyNGFmZTUwYjZhMzgzMjMxMmQyZWVkNmZkNWVlMWZhNTNmNjY2YjYzNGE0OTAxZTA5ZjNlMzpoOkY" title="Protected by Avanan: https://github.com/cabforum/servercert/pull/373" target="_blank">PR</a>.<br><br>- Ryan<u></u><u></u></p></div></div><p class="MsoNormal"><u></u> <u></u></p><div><div><p class="MsoNormal">On Wed, Feb 15, 2023 at 12:16 PM Aaron Gable via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>> wrote:<u></u><u></u></p></div><blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in"><div><p class="MsoNormal">Hi Servercert folks,<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">The Profiles ballot updates <a href="https://url.avanan.click/v2/___https:/github.com/cabforum/servercert/blob/profiles/docs/BR.md%237129-precertificate-profile___.YXAzOmRpZ2ljZXJ0OmE6bzowZmZjM2ZlYTA1ODcyMDRlMzhjN2YwZWM5ZDFmNDE2Mzo2OjgwZjk6YzgzN2Y2MGU0MzU5NDgzMDQzNzA5ZDhlZTE1MGNmNDMyODdkNWIyMDdmMjE5ZWUwNzZjMTdmMTMwMzA1OTg3MzpoOkY" title="Protected by Avanan: https://github.com/cabforum/servercert/blob/profiles/docs/BR.md#7129-precertificate-profile" target="_blank">Section 7.1.2.9</a> to say:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">> Once a Precertificate is signed, relying parties are permitted to treat this as a binding committment from the CA of the intent to issue a corresponding Certificate, or more commonly, that a corresponding Certificate exists.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">This language is, to my understanding, just a reification of the common position that has been taken by root programs for a number of years now. For example, the MRSP says:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">> The logging of a precertificate in a Certificate Transparency log is considered by Mozilla to be a binding intent to issue a final certificate[.]<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">There is a slight difference between the current Mozilla policy and the proposed Profiles language: Mozilla says that "logging to CT" is a binding intent to issue, while the Profiles ballot says that just "signing" is a binding intent to issue. To be honest, I prefer the new language, but it introduces some weirdness regarding OCSP.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><div><p class="MsoNormal">Section <a href="https://url.avanan.click/v2/___https:/github.com/cabforum/servercert/blob/2c63814/docs/BR.md%234910-on-line-revocation-checking-requirements___.YXAzOmRpZ2ljZXJ0OmE6bzowZmZjM2ZlYTA1ODcyMDRlMzhjN2YwZWM5ZDFmNDE2Mzo2OjlmMzM6MDk1YmUzOWNiZWYyY2ExNjQ5YjkyNmU4ZjVlZDNiMzY2NDdlM2RlNjJlMzYxYmRiZTZjOTU5OGRjNzBlZGJjZjpoOkY" title="Protected by Avanan: https://github.com/cabforum/servercert/blob/2c63814/docs/BR.md#4910-on-line-revocation-checking-requirements" target="_blank">4.9.10</a> of the BRs says:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">> A certificate serial number within an OCSP request is...<br>> - "assigned" if a Certificate with that serial number has been issued by the Issuing CA<u></u><u></u></p></div><div><p class="MsoNormal">> - "reserved" if a Precertificate [RFC6962] with that serial number has been issued[...].<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">It also says:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">> The OCSP responder MAY provide definitive responses about "reserved" certificate serial numbers, as if there was a corresponding Certificate that matches the Precertificate [RFC6962].<u></u><u></u></p></div></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">But if, as the Profiles ballot text says, a "Precertificate is... a binding commitment... that a corresponding Certificate exists", then there's no actual difference between "reserved" and "assigned". All serials which are "reserved" may be treated by relying parties as actually "assigned", and therefore the OCSP responder MUST provide a definitive response for them.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">This isn't a huge deal: as noted above, the new Profiles language largely just carries forward existing Mozilla language, so most publicly trusted CAs are already in this state today. But I think it would be worthwhile to clean up Section 4.9.10 to only list two categories of serials, to make the requirements clearer.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Does the ServerCert WG think that this should be addressed as part of the profiles ballot? As a follow-up cleanup? Not addressed at all, as it isn't a meaningful change from the current state of affairs?<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Thanks!<u></u><u></u></p></div><div><p class="MsoNormal">Aaron<u></u><u></u></p></div></div><p class="MsoNormal">_______________________________________________<br>Servercert-wg mailing list<br><a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br><a href="https://url.avanan.click/v2/___https:/lists.cabforum.org/mailman/listinfo/servercert-wg___.YXAzOmRpZ2ljZXJ0OmE6bzowZmZjM2ZlYTA1ODcyMDRlMzhjN2YwZWM5ZDFmNDE2Mzo2OmQ2NjQ6OTNjNzBiNTkwZTc5ZjJlNjEyYzRlMmNmNjk5MmI1NzM1OTQ2YmU1Y2U2OWZiMGU2YjU4ZWQxMTdlNDJiYzAzZTpoOkY" title="Protected by Avanan: https://lists.cabforum.org/mailman/listinfo/servercert-wg" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><u></u><u></u></p></blockquote></div></div></div></div></blockquote></div>