<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Segoe Script";

        panose-1:3 11 5 4 2 0 0 0 0 3;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal">Do these automatically issued certificates have the serverAuth EKU, and is it necessary for them to chain to a publicly-trusted root?  If not, they’re out of scope for the server certificate baseline requirements.  If so, why can they not

 be in full compliance with the standard TLS profiles?  Which fields / requirements are causing problems?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">-Tim<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt">

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b>From:</b> Servercert-wg <servercert-wg-bounces@cabforum.org>

<b>On Behalf Of </b>Wendy Brown - QT3LB-C via Servercert-wg<br>

<b>Sent:</b> Wednesday, August 2, 2023 1:52 PM<br>

<b>To:</b> Corey Bonnell <Corey.Bonnell@digicert.com><br>

<b>Cc:</b> CA/B Forum Server Certificate WG Public Discussion List <servercert-wg@cabforum.org><br>

<b>Subject:</b> Re: [Servercert-wg] Draft ballot SC-XX: Profiles cleanup ballot<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">Corey - <o:p></o:p></p>

<div>

<p class="MsoNormal">For at least 1 CA product that I am aware of, issuance of these certificates is automatic, and we don't believe that issuance can be disabled, or that a separate private PKI can be used to issue these certificates instead.  In the event

 a separate, private PKI is used for CA infrastructure, it would be important that the private PKI at a minimum meets the same security and monitoring requirements of the CA for which it issues infrastructure certificates.  In a situation where a CA requires

 these certificates, it would be more secure to have optional Baseline profiles than stand up a separate private PKI to avoid the certificates.<br>

<br>

While the issuance is automatic, the profiles can be adjusted prior to issuance.  The profiles required would be for a Trusted Role authentication certificate (unless the two factor authentication requirement is waived and password authentication is used instead),

 audit log signing certificate, OCSP signing certificate, TLS certificate (for the local web interface of the CA), and a subsystem certificate so the certificate manager subsystem can communicate with the CA subsystem for issuance/revocation/Trusted Role authentication,

 etc.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">In addition, for an offline Root CA - requiring the use of a separate internal PKI might also require network capability each time the Root is activated so the Root CA can validate the current status of those externally issued certificates.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">thanks,<br clear="all">

<o:p></o:p></p>

<div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Segoe Script"">Wendy</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><o:p> </o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Wendy Brown<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Supporting GSA<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">FPKIMA Technical Liaison<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Protiviti Government Services<o:p></o:p></p>

<p class="MsoNormal">703-965-2990 (cell)<o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Tue, Aug 1, 2023 at 2:27 PM Corey Bonnell <<a href="mailto:Corey.Bonnell@digicert.com">Corey.Bonnell@digicert.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Hi Wendy,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Do you know if the automatic issuance of such certificates can be disabled, and a private PKI be used for infrastructure purposes instead? Based on the discussions during the development

 of the profiles ballot, it was clear that private PKI should be used for CA infrastructure. However, prohibiting such use on a short timeframe would likely cause migration issues, so such issuance may need to continue to be permitted for at least some time.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I’m wondering whether it’s feasible to create a “infrastructure certificate" profile in the BRs that can allow for the continued issuance of these types of certificates while also

 establishing some guard rails. Do you happen to know whether these certificates share a profile that is roughly like one another? I personally haven’t used CA software that exhibits this “automatic issuance” behavior, so I’ll lean on others who do have experience.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thanks,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Corey<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b>From:</b> Wendy Brown - QT3LB-C <<a href="mailto:wendy.brown@gsa.gov" target="_blank">wendy.brown@gsa.gov</a>>

<br>

<b>Sent:</b> Friday, July 21, 2023 8:24 AM<br>

<b>To:</b> Corey Bonnell <<a href="mailto:Corey.Bonnell@digicert.com" target="_blank">Corey.Bonnell@digicert.com</a>><br>

<b>Cc:</b> CA/B Forum Server Certificate WG Public Discussion List <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br>

<b>Subject:</b> Re: [Servercert-wg] Draft ballot SC-XX: Profiles cleanup ballot<o:p></o:p></p>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Corey - <o:p></o:p></p>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">not according to some CA products - these additional certificates are created automatically at the time a new CA is established - so if they are not excluded those products are

 no longer eligible for use as Root CAs.  It was my understanding that the original language that you are proposing to eliminate was put there so these products could continue to be used.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br clear="all">

<o:p></o:p></p>

<div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Segoe Script"">Wendy</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Wendy Brown<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Supporting GSA<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">FPKIMA Technical Liaison<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Protiviti Government Services<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">703-965-2990 (cell)<o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On Fri, Jul 21, 2023 at 8:19 AM Corey Bonnell <<a href="mailto:Corey.Bonnell@digicert.com" target="_blank">Corey.Bonnell@digicert.com</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">

<div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Hi Wendy,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">The intent behind the certificate profiles ballot was that the profile of all allowed certificate types issued from a BR-compliant CA were completely specified within the BRs. Adding

 a carve-out to allow the issuance of certificates whose profile is not specified and not intended for use outside the CA’s infrastructure would seem to go against that goal.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Is the use of a private PKI not feasible for these internal infrastructure certificates?<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thanks,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Corey<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b>From:</b> Wendy Brown - QT3LB-C <<a href="mailto:wendy.brown@gsa.gov" target="_blank">wendy.brown@gsa.gov</a>>

<br>

<b>Sent:</b> Wednesday, July 19, 2023 3:54 PM<br>

<b>To:</b> Corey Bonnell <<a href="mailto:Corey.Bonnell@digicert.com" target="_blank">Corey.Bonnell@digicert.com</a>>; CA/B Forum Server Certificate WG Public Discussion List <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br>

<b>Subject:</b> Re: [Servercert-wg] Draft ballot SC-XX: Profiles cleanup ballot<o:p></o:p></p>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I would not like to see #3 exclusion for Root CAs removed<o:p></o:p></p>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Some CA products when a new CA is established, automatically create some internal certificates that are necessary for the operation of the CA including possibly a key pair used

 to sign audit logs with a certificate signed by the Root CA that can be used to verify the integrity of the logs by verifying the signature. In addition to enabling cert-based authentication for trusted roles needing to access the CA, including for actions

 like manually instigating the issuance of a subordinate CA certificate or manually issuing a new CRL when there has not been a revocation.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">This change would make it so those products could not be compliant with the BRs, even though such certificates would never be seen outside the supporting infrastructure.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">If the rationale is there are no profiles for internal certificates, then I suggest a better fix would be to add the word public in the conflicting language in 7.1.2, as the internal

 certificates that have no BR profile should never be seen outside the CA's infrastructure. But removing the allowance would potentially trigger a non-compliance during an audit.:<o:p></o:p></p>

</div>

</div>

<blockquote style="margin-left:30.0pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">“If the CA asserts compliance with these Baseline Requirements, all <b><i><span style="color:black;background:yellow">public </span></i></b>certificates that it issues MUST comply

 with one of the following certificate profiles, which incorporate, and are derived from RFC<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">5280.”<o:p></o:p></p>

</div>

</div>

</blockquote>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thanks,<o:p></o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Segoe Script"">Wendy</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Wendy Brown<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Supporting GSA<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">FPKIMA Technical Liaison<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Protiviti Government Services<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">703-965-2990 (cell)<o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">On Wed, Jul 19, 2023 at 10:16 AM Corey Bonnell via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">

<div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Hello,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">While adding support for SC-62 linting for TLS certificates in pkilint, a few issues were identified with the current language in section 6 and 7 of the BRs. To address these issues,

 I created a draft ballot on Github. The draft ballot text can be viewed here: <a href="https://url.avanan.click/v2/___https:/github.com/cabforum/servercert/compare/SC63..CBonnell:servercert:sc62-cleanup___.YXAzOmRpZ2ljZXJ0OmE6bzpkNmRlMmQ1ZDU1ZDIyYThiNDc1ZjJmNTg3YzJjZDczZTo2OmE3YTg6OTQzODNmYmRkMjcyM2U5ODYwMmY5YWNkMjA5MWU1MDcxMTM4OWIwZDA1OWUxODYxOTFmMDE1OTIyOWM3ZWQ3NzpoOkY" target="_blank" title="Protected by Avanan: https://github.com/cabforum/servercert/compare/SC63..CBonnell:servercert:sc62-cleanup">

https://github.com/cabforum/servercert/compare/SC63..CBonnell:servercert:sc62-cleanup</a>.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Chris Clements of the Chrome team reviewed and offered to endorse, so we’re looking for one more endorser to push this ballot forward.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Please let me know if you have any feedback on the proposed language or if you’d be willing to endorse.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thanks,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Corey<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">_______________________________________________<br>

Servercert-wg mailing list<br>

<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>

<a href="https://url.avanan.click/v2/___https:/lists.cabforum.org/mailman/listinfo/servercert-wg___.YXAzOmRpZ2ljZXJ0OmE6bzpkNmRlMmQ1ZDU1ZDIyYThiNDc1ZjJmNTg3YzJjZDczZTo2OmZmMTI6NTg5ZDE2ZjkyNDJjODZjOTdjNTYwOGFhMDBlNGY3OWFjMTAyNDU5NzViMmE5ZWQ5NTBjMDMwZTZkZWNjOTA4YTpoOkY" target="_blank" title="Protected by Avanan: https://lists.cabforum.org/mailman/listinfo/servercert-wg">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><o:p></o:p></p>

</div>

</blockquote>

</div>

</div>

</div>

</div>

</blockquote>

</div>

</div>

</div>

</div>

</blockquote>

</div>

</div>

</div>

</body>

</html>