
<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <br>

    I recall the policy OID chaining between issuing CAs and leaf

    certificates having been discussed in the past, and the result of

    that discussion was that chaining is not enforced by Browsers and

    has no applicability for the publicly-trusted TLS Certificates. If

    such a chaining requirement was enforceable by Browsers, it could

    also be used to scope certain Issuing CAs but we didn't want to use

    that method.<br>

    <br>

    Is there a requirement for the custom CABF OIDs to be present in the

    issuing CA Certificates if they do not have "anyPolicy" ? <br>

    <br>

    <br>

    Thanks,<br>

    Dimitris.<br>

    <br>

    <br>

    <div class="moz-cite-prefix">On 17/3/2021 5:08 μ.μ., Ryan Sleevi via

      Validation wrote:<br>

    </div>

    <blockquote type="cite"

cite="mid:0100017840baf4d2-187093eb-20c6-40f9-9560-f02612b69049-000000@email.amazonses.com">

      <meta http-equiv="content-type" content="text/html; charset=UTF-8">

      <div dir="ltr">As I was working through profiles, I stumbled on

        some additional tricky issues related to the current rules of

        Certificate Policies, which I've documented at <a

          href="https://github.com/cabforum/servercert/issues/254"

          moz-do-not-send="true">https://github.com/cabforum/servercert/issues/254</a>

        <div><br>

        </div>

        <div>I believe the two suggestions I offer in the issue are

          natural/logical consequences of our existing requirements

          (i.e. they do not impose/introduce new requirements, but

          clarify existing ones), but I'd appreciate feedback from folks

          to know if they disagree with that.</div>

        <div><br>

        </div>

        <div>Happy to discuss on-list or on GitHub, but wanted to draw

          folks' attention to it. My current plan is to make the

          proposed changes now, and we can continue to discuss as part

          of the profiles work, but I'll continue to update and adjust

          based on feedback if there are concerns/questions/confusion.</div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <pre class="moz-quote-pre" wrap="">_______________________________________________

Validation mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Validation@cabforum.org">Validation@cabforum.org</a>

<a class="moz-txt-link-freetext" href="https://lists.cabforum.org/mailman/listinfo/validation">https://lists.cabforum.org/mailman/listinfo/validation</a>

</pre>

    </blockquote>

    <br>

  </body>

</html>