<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">An ACME key and API key are both credentials but just in a different from, I provided the examples with API

 keys as these are most widely used today.</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">We do indeed use the External Account Binding (EAB), and this works for a setup where

 the user can configure the ACME server at the </span><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 14.6667px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">Cloud Service Provider</span><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"> (ACME

 client) and provide the EAB to the Cloud Service Provider, unfortunately this is rarely the case,

<a href="https://cabforum.org/wp-content/uploads/F2F-59-CABF-SCWG-ACME-Automation.pdf" id="OWA3b93254b-3e65-d9a6-0bb0-132263ce2239" class="OWAAutoLink" title="https://cabforum.org/wp-content/uploads/F2F-59-CABF-SCWG-ACME-Automation.pdf" data-loopstyle="linkonly">

as I presented at F2F#59 in Redmond</a>.</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">This is why we have been working on an

<a href="https://datatracker.ietf.org/doc/draft-vanbrouwershaven-acme-auto-discovery/" id="OWA402d3a5f-43ba-3506-2270-3861884538b8" class="OWAAutoLink" title="https://datatracker.ietf.org/doc/draft-vanbrouwershaven-acme-auto-discovery/" data-loopstyle="linkonly">

auto discovery mechanism for ACME</a>, and this works fine for domain validated certificates as you do not need an EAB for that, but we would also like to ensure that identity certificates can be supported by this proposal.</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">A domain and organization can be pre-linked at the CA, after verification of domain

 control and the organization identity.</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">With ACME its simple to validate domain control for each request, this could be precondition

 when there is no explicit and unique account binding. But proving domain control does not equal an authorization of a Certificate Approver as required for the issuance of an EV certificate. </span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">Like linking an ACME client key via an External Account Binding (EAB) to a Pre-Authorized

 Certificate Approver, according to 11.8.4 of the EVG, to support EV certificates over ACME. We could link the ACME keys of an Cloud Service Provider at the CA side without EAB if these would be disclosed for linking (like via a manual or by publishing them

 to the well-known directory).</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">My initial thought is that this would give the same guarantee as when the user provides

 an EAB to the Cloud Service Provider which links that to an ACME client key that is shared between all customers as we are just reversing the process.</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">> Do we need the concept of Certificate Approver? </span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">The idea that a human approves individual certificates requests doesn't align with the

 desire for automation. </span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">The concept of a Pre-Authorized certificate approver (EVG 11.8.4) seems to be trying

 to address this issue by allowing multiple future EV Certificate Requests. </span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">With API keys linked to

</span><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 14.6667px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">Pre-Authorized certificate approver</span><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">s,

 we assume that all requests made with this API key </span><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 14.6667px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">are </span><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">on

 behalf of that Pre-Authorized certificate approver, where in reality they are made by a system, which could be a third party. </span></div>

<div id="appendonsend"></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><br>

</span></div>

<div class="elementToProof"><span style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 14.6667px; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">I think we want to have approval by the organization

 that certificates which include the organization in the subject DN can be issued for a given domain name/FQDN, but this is something that can be pre-approved for each domain name/FQDN and doesn't have to be specified per certificate request.</span></div>

<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<hr style="display: inline-block; width: 98%;">

<span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);"><b>From:</b> Doug Beattie<br>

<b>Sent:</b> Friday, February 02, 2024 12:48<br>

<b>To:</b> Paul van Brouwershaven; CA/B Forum Server Certificate WG Public Discussion List<br>

<b>Subject:</b> [EXTERNAL] RE: EV Certificates through automation / Pre-Authorized Certificate Approver (API)

</span>

<div><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);"><br>

</span></div>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);">Hi Paul,</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);">Thanks for that presentation.</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);">I�m assuming that Entrust uses External Account Binding (EAB) to link the MAC key and KeyID to the customer account.  Are these the API credentials

 you�re referring to in the presentation?</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);">Another way to look into automating for EV is asking the question: Do we need the concept of Certificate Approver?  While there was probably value

 in this back when the EVGs were created, is there continued value of this in 2024, especially in light of the need to automate?</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);">Regards,</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);">Doug</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<div style="padding: 3pt 0in 0in; border-top: 1pt solid rgb(225, 225, 225);">

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"><b>From:</b> Servercert-wg <servercert-wg-bounces@cabforum.org>

<b>On Behalf Of </b>Paul van Brouwershaven via Servercert-wg<br>

<b>Sent:</b> Thursday, February 1, 2024 12:41 PM<br>

<b>To:</b> CA/B Forum Server Certificate WG Public Discussion List <servercert-wg@cabforum.org><br>

<b>Subject:</b> [Servercert-wg] EV Certificates through automation / Pre-Authorized Certificate Approver (API)</span></p>

</div>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="font-family: Aptos, sans-serif; color: black;">As briefly introduced on the Server Certificate WG Teleconference, I would like to bring up a topic around the use of API

 keys that are linked to a Pre-Authorized Certificate Approver.</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="font-family: Aptos, sans-serif; color: black;">Please find some reference slides attached.</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="font-family: Aptos, sans-serif; color: black;"><b>Slide 3:</b> <br>

How I think API keys with a Pre-Authorized Certificate Approver are implemented today.</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="font-family: Aptos, sans-serif; color: black;"><b>Slide 4:</b> <br>

If the API key fulfills the same requirements and is authorized by the Certificate Approver, does it matter who creates/holds the API key with authorization of the Certificate Approver?</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="font-family: Aptos, sans-serif; color: black;"><b>Slide 5:</b> <br>

Does this change if the authorization was given based on a reference to an API key, like located in a well-known directory of the Cloud Service Provider (CSP)? The idea is that this could enable

<a href="https://datatracker.ietf.org/doc/draft-vanbrouwershaven-acme-auto-discovery/" id="OWAeb313660-a8da-6006-5808-8d4c544d3e94" class="OWAAutoLink" title="https://datatracker.ietf.org/doc/draft-vanbrouwershaven-acme-auto-discovery/" data-loopstyle="linkonly" data-auth="NotApplicable" style="margin-top: 0px; margin-bottom: 0px;">

ACME auto discovery</a> for OV and EV certificates as the Certificate Approver explicitly approves the CSP to request certificates on their behalf.</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="font-family: Aptos, sans-serif; color: black;">It would be great to get people�s thoughts on this!</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="font-family: Aptos, sans-serif; color: black;">Paul</span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="font-family: Aptos, sans-serif; color: black;"> </span></p>

<p style="margin: 0in; font-family: Calibri, sans-serif; font-size: 11pt;"><span style="color: rgb(0, 0, 0);"><i>Any email and files/attachments transmitted with it are intended solely for the use of the individual or entity to whom they are addressed. If this

 message has been sent to you in error, you must not copy, distribute or disclose of the information it contains.

<u>Please notify Entrust immediately and delete the message from your system.</u></i></span></p>

</body>

</html>