<div dir="ltr">The changes look good and this clearer set of requirements feels like a worthwhile improvement to us at Certainly. We'd be willing to endorse it in the current form. </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 3 Jan 2024 at 03:45, Martijn Katerbarg via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg6740583052454196364"><div lang="en-SE" style="overflow-wrap: break-word;"><div class="m_6740583052454196364WordSection1"><p class="MsoNormal"><span lang="EN-US" style="font-size:11pt">All,<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11pt"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11pt;color:rgb(33,33,33)">I’ve made a few changes based on discussions that were held a few weeks ago. This includes adding a new section (5.4.1.1) containing a MUST and SHOULD NOT log list.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11pt;color:rgb(33,33,33)"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11pt;color:rgb(33,33,33)">The updated proposal can be reviewed at <a href="https://github.com/cabforum/servercert/compare/main...XolphinMartijn:servercert:LoggingRequirements" target="_blank">https://github.com/cabforum/servercert/compare/main...XolphinMartijn:servercert:LoggingRequirements</a><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11pt;color:rgb(33,33,33)"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US" style="font-size:11pt;color:rgb(33,33,33)">Looking for more feedback on this, or, depending on how much discussion there is, for any endorsers. <br><br>Regards,<br><br>Martijn</span><span style="color:rgb(33,33,33)"><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p><div id="m_6740583052454196364mail-editor-reference-message-container"><div><div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0cm 0cm"><p class="MsoNormal" style="margin-bottom:12pt"><b><span style="font-size:12pt;font-family:Aptos,sans-serif;color:black">From: </span></b><span style="font-size:12pt;font-family:Aptos,sans-serif;color:black">Servercert-wg <<a href="mailto:servercert-wg-bounces@cabforum.org" target="_blank">servercert-wg-bounces@cabforum.org</a>> on behalf of Martijn Katerbarg via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br><b>Date: </b>Friday, 22 September 2023 at 09:36<br><b>To: </b>Tobias S. Josefowitz <<a href="mailto:tobij@opera.com" target="_blank">tobij@opera.com</a>>, CA/B Forum Server Certificate WG Public Discussion List <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br><b>Subject: </b>Re: [Servercert-wg] Proposal to update logging requirements<u></u><u></u></span></p></div><div style="border:1pt solid black;padding:2pt"><p class="MsoNormal" style="line-height:12pt;background:rgb(250,250,3)"><span style="color:black">CAUTION: This email originated from outside of the organization. Do not click links or open attachments unless you recognize the sender and know the content is safe.<u></u><u></u></span></p></div><p class="MsoNormal"><span style="font-size:11pt"><u></u> <u></u></span></p><div><p class="MsoNormal"><span style="font-size:11pt">Hi Tobias,</span></p><p class="MsoNormal"><span style="font-size:11pt"> </span></p><p class="MsoNormal"><span style="font-size:11pt">I can only share our side of the discussion, as done in the first email I sent out. However the logging of all OCSP requests was certainly part of this. Other than that, the discussion was more in general around what it may entail without going into specific points on what should or should not be included. </span></p><p class="MsoNormal"><span style="font-size:11pt"> </span></p><p class="MsoNormal"><span style="font-size:11pt">If CABF members want to bring forward specific items or ideas they believe should be covered in here, on top of the proposed changes, then lets have a discussion on that and see how detailed we can get!</span></p><p class="MsoNormal"><span style="font-size:11pt"> </span></p><p class="MsoNormal"><span style="font-size:11pt">As indeed you have brought forward an idea: Yes I think having logins (and unsuccessful login attempts) logged, would indeed be useful. </span></p><p class="MsoNormal"><span style="font-size:11pt"> </span></p><p class="MsoNormal"><span style="font-size:11pt">Are there any other items that you would like to see reflected?<br><br></span><span lang="SV" style="font-size:11pt">Regards,<br><br>Martijn</span></p><p class="MsoNormal"><span style="font-size:11pt"> </span></p><div id="m_6740583052454196364mail-editor-reference-message-container"><div><div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0cm 0cm"><p class="MsoNormal" style="margin-bottom:12pt"><b><span style="font-size:12pt;color:black">From: </span></b><span style="font-size:12pt;color:black">Tobias S. Josefowitz <<a href="mailto:tobij@opera.com" target="_blank">tobij@opera.com</a>><br><b>Date: </b>Wednesday, 20 September 2023 at 16:52<br><b>To: </b>Martijn Katerbarg <<a href="mailto:martijn.katerbarg@sectigo.com" target="_blank">martijn.katerbarg@sectigo.com</a>>, CA/B Forum Server Certificate WG Public Discussion List <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br><b>Subject: </b>Re: [Servercert-wg] Proposal to update logging requirements</span></p></div><div><p class="MsoNormal"><span style="font-size:11pt">CAUTION: This email originated from outside of the organization. Do not click links or open attachments unless you recognize the sender and know the content is safe.<br><br><br>Hi Martijn,<br><br>On Wed, 20 Sep 2023, Martijn Katerbarg wrote:<br><br>> The discussion we had was around the amount of log events and details<br>> required in accordance with the BRs. This in essence, it boiled down to<br>> the interpretation of the word "activities". Yes, routing a packet is a<br>> router activity. So, must it be logged? Depending on the interpretation<br>> that one may have, it may have to be logged, because it's a router<br>> activity, and router activities must be logged, right? In our eyes<br>> however, this is not a reasonable interpretation of the requirement.<br><br>Thank you! I can certainly agree that, without any context, a hypothetical<br>requirement "Record all firewall and router activities." will easily lead<br>to nonsensical results depending on the definition/interpretation of<br>activities. I can also agree that, even with the context of 5.4.1, it may<br>not necesarily be very clear what the interpretation should be.<br><br>I was just hoping that getting a brief insight into the point of<br>discussion that you had come up might be helpful in delineating more where<br>the line should be, and then how to express it in 5.4.1.<br><br>The changes in<br><a href="https://nam04.safelinks.protection.outlook.com/?url=https%3A%2F%2Fgithub.com%2Fcabforum%2Fservercert%2Fcompare%2Fmain...XolphinMartijn%3Aservercert%3ALoggingRequirements&data=05%7C01%7Cmartijn.katerbarg%40sectigo.com%7Cea8ee5d9f7204b5ad18b08dbb9e94534%7C0e9c48946caa465d96604b6968b49fb7%7C0%7C0%7C638308183770731321%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=YfALPRS%2FmiDqkQAsgon%2BJA18INtaj3HDLFZP5y3um3k%3D&reserved=0" target="_blank">https://nam04.safelinks.protection.outlook.com/?url=https%3A%2F%2Fgithub.com%2Fcabforum%2Fservercert%2Fcompare%2Fmain...XolphinMartijn%3Aservercert%3ALoggingRequirements&data=05%7C01%7Cmartijn.katerbarg%40sectigo.com%7Cea8ee5d9f7204b5ad18b08dbb9e94534%7C0e9c48946caa465d96604b6968b49fb7%7C0%7C0%7C638308183770731321%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=YfALPRS%2FmiDqkQAsgon%2BJA18INtaj3HDLFZP5y3um3k%3D&reserved=0</a><br>however look like they are falling a bit short. There are many more types<br>of "activities" that I would think should be encompassed by 5.4.1, too<br>many to give a list. But to single one out just to illustrate my point, I<br>think that logins to the router's/firewall's management interface are a<br>kind of "activity" that would be very useful to have covered by 5.4.1.<br><br>If you could provide any insight into how differing interpretations are<br>clashing in practice, it would help me a lot, and I would really<br>appreciate it.<br><br>Tobi</span></p></div></div></div></div></div></div></div></div>_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</div></blockquote></div><br clear="all"><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr"><p style="margin:10px 0px 0px;padding:0px;color:rgb(23,43,77);font-family:-apple-system,system-ui,"Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px"><span style="display:inline-block;max-width:100%"><img src="http://www.fastly.com/img/sig.png" style="margin: 0px 2px; padding: 0px; border: 0px; display: block;"></span><strong><br></strong></p><div style="margin:0px;padding:0px;color:rgb(23,43,77);font-family:-apple-system,system-ui,"Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px"><div style="margin:0px;padding:0px"><div style="margin:0px;padding:0px"><strong>Daniel Jeffery</strong> | TLS</div><div style="margin:0px;padding:0px"><a href="http://fastly.com/" rel="nofollow" style="color:rgb(59,115,175)" target="_blank">fastly.com</a> | <a href="https://twitter.com/fastly" rel="nofollow" style="color:rgb(59,115,175)" target="_blank">@fastly</a> | <a href="http://www.linkedin.com/company/fastly" rel="nofollow" style="color:rgb(59,115,175)" target="_blank">LinkedIn</a></div></div></div></div></div>