<br><br><div class="gmail_quote">On Mon, Sep 26, 2011 at 10:00 AM, Ralph Holz <span dir="ltr"><<a href="mailto:holz@net.in.tum.de">holz@net.in.tum.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hi,<br>
<div class="im"><br></div>
I am pulling this from my memory, but I had the pleasure with the local<br>
RA once when I got myself an S/MIME cert. AFAICR the procedure is that<br>
they trigger certification via an API, and the client cert is issued<br>
directly by the CA. I don't know the procedure for WWW certs. What I do<br>
know is that the guys did not accept my ID of the CS faculty here, but<br>
rather insisted I show them my passport. That was a higher level of<br>
certification than I had expected. :)<br></blockquote><div><br></div><div>The question that would be of interest is whether that RA had the theoretical capability to issue for <a href="http://www.cia.gov">www.cia.gov</a> or if the CA would only allow it to issue for your university.</div>
<div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">
> Now the current situation is not acceptable. The CA in question has not<br>
> responded to my enquires as to what their policy actually is. So it is<br>
<br>
</div>Was that DFN? They should reply, but maybe they take that stupid stance<br>
that they answer to subscribers only. As I am one, I could ask again.</blockquote><div><br></div><div>They could reply to my email. </div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">
> entirely possible that they are doing it the stupid way. And this is not<br>
> a situation that can be allowed to continue.<br>
<br>
</div>Which means you would have to unplug Deutsche Telekom. Which Mozilla<br>
won't do unless you can show them they have misbehaved.<br></blockquote><div><br></div><div>Which means that we will have to change the audit requirements so that the CA is obliged to disclose public issue capability.</div>
<div><br></div><div>Since there is no reason why DFN subscribers would need or want that capability, I think the probability of getting it agreed is much higher than you imagine :)</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

The real problem is not even disclosure of sub-CAs; it is control over<br>
them. Host name limitations in the CN/SAN will help here, but only<br>
briefly I guess.<br>
<div class="im"><br>
> But what I take exception to is the jump from an observation that might<br>
> imply the possibility of 200 CAs to a repeated assertion of fact. The<br>
> EFF has not attempted to determine whether those 200 certs are<br>
> independent CAs or merely 200 keys in a single HSM held by the CA. Yet<br>
> EFF people are repeating the claim as fact and using it to drive a<br>
> policy discussion.<br>
<br>
</div>I agree that the conjecture is not correct.</blockquote><div><br></div><div>Yet it is used by a EFF board member as being evidence for a need to replace the whole CA system. </div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Their BR may be a step into the right<br>
direction, but they're so impossibly worded and boring to read that you<br>
need to be a really dedicated follower, and even then I am not sure if<br>
name constraints are in the BR. Actually, I think they are not.</blockquote><div><br></div><div>The BR v1.0 is really about the decision to have a minimum requirement. It is going to be very minimum.</div><div><br></div>
<div>Unfortunately, that type of approach is what is necessary to do that type of job. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">

> My firm belief is that we need to start by making all parties that<br>
> perform public validation subject to the same audit requirement as a CA.<br>
<br>
</div>Audits are not my specialty, but I think IanG will have some words here...</blockquote><div><br></div><div>Audits mean almost nothing.</div><div><br></div><div>But lack of an audit means that your security policy is completely useless. Nobody is going to comply with policy without an audit.</div>
<div><br></div><div>So an audit means that it is possible that you are compliant with your policy.</div><div><br></div><div> </div></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br><br>