<div dir="ltr"><div>Here are the draft minutes.</div><div><br></div><div>



















<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Validation Subcommittee Meeting April 22, 2021<span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Antitrust statement</b>: Read by Tim<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Attendees</b>:<span>  </span>Ben
Wilson, Andrea Holland, Clint Wilson, Aneta Wojtczak, Tim Hollebeek, Corey
Bonnell, Bruce Morton, Curt Spann, Enrico Entschew, Doug Beattie, I<span>ñ</span>igo
Barreira, Janet Hines, Johnny Reading, Ryan Sleevi, Michelle Coon, Niko
Carpenter, Paul van Brouwershaven, and Wayne Thayer <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Agenda:</b> Wildcards, CAA and Certificate Profile
Updates<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Wildcards & ADNs (SC45):</b> Ryan worked with
Dimitris re: how work relates to appendix B (.onion validation rules) and
whether a host-based control actually demonstrates control over the whole
domain name space.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Sites that use .onion certificates have a Tor daemon on one
server that is doing proxying for different subdomains.<span>  </span>Subdomains don’t go over the Tor network, they
are conveyed by the host header if you’re using http. The daemon runs on one
server and inspects the SNI to dispatch to other servers.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Control over one of these destination servers doesn’t mean you
have control over the onion private key or the entire domain namespace. Control
over the destination server doesn’t mean you control the proxy server.<span>  </span>Purpose of the ballot is to make it clear
that the validation of a subdomain is not validation of the domain namespace or
of subdomains beneath it.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">The implementation requirement date is being moved from
October 2021 to December 2021.<span>  </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Corey – ACME IP address validation discussion at IETF is
making some security assumptions – concerns about passive proxying and whether
use of SNI is sufficient demonstration of control.<span>  </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ryan – for this ballot, we are not making such assumptions -
control over private key doesn’t assume authorization for the namespace.<span>  </span>The primary method for demonstrating control
would be the CSR method using the private key. <span> </span>The well-known URI cannot be used to demonstrate
control of the whole namespace.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>CAA ballot (SC46):</b> Purpose of the ballot is to remove
DNS operator exception from the CAA-checking requirements. You always check CAA.
That ballot is ready to go.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Certificate Profiles</b>: Ryan announced items to resolve
or to call out or to pay attention to.<span>  </span><span></span></p><span><span><span style="font:7pt "Times New Roman""> </span></span></span><b>Name Constraints and BR section 7.1.2.4.2:</b>
<span> </span>PDFs circulated on the list, there is dif
file you can look at – <a href="https://github.com/sleevi/cabforum-docs/pull/36/files" style="color:rgb(5,99,193);text-decoration:underline">https://github.com/sleevi/cabforum-docs/pull/36/files</a><span></span>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">BRs talk about the three constraints – DNS constraints, IP
address constraints, and Directory Name constraints.<span>  </span>The idea is to transition SHOULD NOTs (profiles
phase 1) to MUST NOTs (profiles phase 2). In Mozilla policy, it doesn’t address
<b>RFC 822 and SRV names</b>. You could be exempt from audits, but still
subject to Mozilla’s policy and CCADB disclosure would be required. The
proposed profile would illustrate how to handle constraints for RFC 822 and SRV
names. Under Mozilla Policy, the domain part of the RFC822 name must be validated
per BR <span>§</span>
3.2.2.4. For SRV names, the name portion must be validated. The goal is to
provide guidance for CAs trying to technically constrain intermediate CAs. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">If SRV names were supported in browsers, all of these SRV
names would not be technically supported and it would create a security risk.
Clients can introduce support for the new name types, but the security gap
needs to be closed first.<span>  </span>There needs to
be a transition as CAs issue newer intermediate CAs. Clients/browsers won’t
support SRV until CAs have technically constrained their intermediate CAs by
SRV names. Ryan will create an issue in the servercert GitHub repository to
track steps and conclusions.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">With regard to <b>non-critical name constraints</b>, Ryan
had a question for Apple.<span>  </span>In the profiles
v.1 phase, it was decided to go with non-critical name constraints because of Apple
and OpenSSL098. What about a 2022 sunset for non-critical name constraints
(requiring that they be marked critical)?<span> 
</span>This would apply to any new sub CAs.<span> 
</span>Dimitris noted that there are relying parties still using old mobile
phones that we need to look at.<span>  </span>For
example, it is hard to get relying party data because they are customers of
customers (e.g. Bank Customers). <span> </span>Ryan noted
that there are these issues and he’ll file an issue in the GitHub repository
and kick off a discussion on the validation list.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Cross certificates</b>. Ryan noted that in the profiles he
was trying to clarify when you issue a cross-certificate to a sub CA. Now it will
be called a cross-certified subordinate CA certificate. See BR <span>§</span>
7.1.2.6.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Another related issue is that today we don’t consistently
use “subscriber certificates” and “server certificates”.<span>  </span>In section 7.1.2.6, the word “server” is
added in parenthesis – (Server) – to clarify that is the end entity certificate
profile because there is a language issue in the BRs today.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ryan asked whether his current approach in sections 7.1.2.6.1
– 7.1.2.6.5 (IV, DV, OV, EV) was acceptable. <span> </span>Then, there are two other types of end entity
certificates (not to be tackled in the profiles v1 phase) – <b>(a) signed-exchange
certificates</b> with extensions and issues with EKU compatibility and they are
90-day certificates.<span>  </span>Intent is that they
authenticate the domain name just like TLS certificates and they want to be
treated like TLS certificates, and <b>(b) delegated credential certificates</b>
– that are server certificates that indicate the server supports delegated
credentials by protecting keys used in Cloudflare and Facebook, and Mozilla has
been supporting these. Neither of these have been finalized yet in IETF (but they
need references and runnable code).<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ryan has also updated the pull request description for WIP pull
request #36 to explain why things are changing. The next step is to move this to
a CABF pull request.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Validity Periods<span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">These are TBD in every certificate profile.<span>  </span>There has been concern about backdating (pre-dating,
too) server certificates. E.g. strawman proposal is to prohibit back dating
past 30 days and only if the information was valid at that time. Thus, you
would be prohibited from back dating a server certificate if you verified the domain
only today. Also, there would be no pre-dating – you cannot issue a certificate
in the future.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Tim – last time we talked about this, we were not going to
allow backdating more than 7 days, but there was still debate about that because
there was still an unresolved clock-skew issue.<span> 
</span>We couldn’t get consistent information. One issue, for example, is that
customers want their certificates as quickly as possible, so certificates are
issued as soon as validation is performed.<span> 
</span>So the second part of the requirement (only if the information was validated),
presents a problem because the reason for <span> </span>backdating is to account for clock skew. <span> </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ryan – what is the right balance? <span> </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Tim – We need two rules- one for short backdating and one
for long backdating.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">I<span>ñ</span>igo – what about CAs trying to avoid requirements?<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ryan – yes, we need to make sure that the BR addresses this,
and validity periods would still need to be observed. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Backdating CAs</b> – the effect on optimal path-building
necessitates some degree of backdating. The rules for CAs needs to be more
permissive, but with a caveat. Let’s say you have an existing CA with a given
SPKI, and you are trying to replace it.<span>  </span>If
you are transitioning to a new certificate from an existing certificate,
backdating is fine. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Curt: Does there need to be a tie to the audit window?<span>  </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ryan: Look at section 7.1.2.2.1 of the document. I think
your question relates to the replacement of a CA with a cross certificate. Thus,
if the certificate was audited according to the then-existing requirements, and
everything was good, then you can still backdate. In other words, if you have all
of the audits, then you can backdate to that period. But if you created the
root or sub CA and it was not audited for a period of time, then you cannot
backdate.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Adjourned.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><span> </span></p>





</div></div>