<div dir="ltr">Gotcha.<div><br></div><div>Yeah, I think this is similar to the case where HMRC in the UK required full tax identifiers in certs used as client certs, and a CA raised a concern that logging such certificates to CT would effectively disclose those details.</div><div><br></div><div>In that case, it was clear there were a number of options:</div><div>- Negotiate the use of a private CA to provide such certificates</div><div>- Use a legacy (no longer included / subject to requirements) CA</div><div>- (Specific to this case) don't log to CT</div><div><br></div><div>Definitely, I think the happy path here would be separating out the PKIs used for client auth, and potentially even for server-auth. Financial services are proof that this works out, since the vast majority of payment processors/gateways rely on out-of-band communicated mutual TLS certs as part of settlement processes. Despite the pain caused by the few organizations that don't yet do that, it's certainly the more common (and better supported) path.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Sep 21, 2020 at 2:19 PM Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com">jeremy.rowley@digicert.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_-4759814725495223903WordSection1">
<p class="MsoNormal">Oh – didn’t answer the full question. I came from the people interacting with the government site, so the use of the TLS as client-auth.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in">
<p class="MsoNormal"><b>From:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>> <br>
<b>Sent:</b> Monday, September 21, 2020 12:01 PM<br>
<b>To:</b> Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>><br>
<b>Cc:</b> CABforum3 <<a href="mailto:validation@cabforum.org" target="_blank">validation@cabforum.org</a>>; Richard Smith <<a href="mailto:rich@sectigo.com" target="_blank">rich@sectigo.com</a>><br>
<b>Subject:</b> Re: [cabf_validation] Revision to OU requirements<u></u><u></u></p>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">Can you clarify: Was this at the request of BCSS (the "server", in their parlance) or in the use of TLS certificates as client-auth certificates? <u></u><u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">This appears to be detailing a very specific mutual-TLS authentication flow, and it's unclear whether or not a browser-used CA is essential for this.<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">On Mon, Sep 21, 2020 at 1:53 PM Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="MsoNormal">We found another program that requires OU.
<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"><a href="https://www.ksz.fgov.be/sites/default/files/assets/diensten_en_support/08soa_customer2bcss_nl.pdf" target="_blank">https://www.ksz.fgov.be/sites/default/files/assets/diensten_en_support/08soa_customer2bcss_nl.pdf</a><u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">I don’t read Dutch, but I guess the government program is rejecting certificates if the certificate does not contain an OU.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in">
<p class="MsoNormal"><b>From:</b> Jeremy Rowley
<br>
<b>Sent:</b> Wednesday, September 2, 2020 2:29 PM<br>
<b>To:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>><br>
<b>Cc:</b> CABforum3 <<a href="mailto:validation@cabforum.org" target="_blank">validation@cabforum.org</a>>; Richard Smith <<a href="mailto:rich@sectigo.com" target="_blank">rich@sectigo.com</a>><br>
<b>Subject:</b> RE: [cabf_validation] Revision to OU requirements<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Yeah – we wanted to see what would happen if we turned it off. So far, there hasn’t been  a lot of noise. This is the first one we’ve encountered.
<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">VMware generate the OU as part of the cert request to create a unique identifier. The tool uses that unique identifier to do the installation. Removing the OU is breaking the VMware
 install tool and causing it not to load the certificate. We’re reaching out to them to see if we can get them to update their software and stop requiring OU.<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(225,225,225);padding:3pt 0in 0in">
<p class="MsoNormal"><b>From:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>>
<br>
<b>Sent:</b> Wednesday, September 2, 2020 2:23 PM<br>
<b>To:</b> Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>><br>
<b>Cc:</b> CABforum3 <<a href="mailto:validation@cabforum.org" target="_blank">validation@cabforum.org</a>>; Richard Smith <<a href="mailto:rich@sectigo.com" target="_blank">rich@sectigo.com</a>><br>
<b>Subject:</b> Re: [cabf_validation] Revision to OU requirements<u></u><u></u></p>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<p class="MsoNormal"> <u></u><u></u></p>
<div>
<div>
<p class="MsoNormal">On Wed, Sep 2, 2020 at 4:14 PM Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>> wrote:<u></u><u></u></p>
</div>
<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin:5pt 0in 5pt 4.8pt">
<div>
<div>
<p class="MsoNormal">We’ve been working to shut off OU completely to see if there are issues with doing so.  So far, we’ve found one automation tool that requires OU:  <span style="font-size:11.5pt;font-family:Slack-Lato;color:black;background:rgb(248,248,248)"><a href="https://kb.vmware.com/s/article/2044696" target="_blank">https://kb.vmware.com/s/article/2044696</a></span><u></u><u></u></p>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Thanks Jeremy! I saw DigiCert was taking a good step here, in <a href="https://knowledge.digicert.com/alerts/ou-removal.html" target="_blank">https://knowledge.digicert.com/alerts/ou-removal.html</a>
 , and think that's a model for all CAs (by virtue of the BRs)<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">I'm hoping you can share more details about the issue there. Are you saying the system doesn't load a publicly-trusted certificate if it's missing the OU field, or merely that their
 tool produces CSRs with the OU field populated, as part of ensuring a globally unique DN?<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Much like past work on working out interoperable, standards-based approaches to IP addresses ( <a href="https://cabforum.org/guidance-ip-addresses-certificates/" target="_blank">https://cabforum.org/guidance-ip-addresses-certificates/</a>
 ), it'd be great to understand the problem more to see what options we have.<u></u><u></u></p>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>

</blockquote></div>