<br><br><div class="gmail_quote">On Sun, Nov 6, 2011 at 1:49 PM, Peter Eckersley <span dir="ltr"><<a href="mailto:pde@eff.org">pde@eff.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On Sun, Nov 06, 2011 at 12:51:11AM +0100, Erwann ABALEA wrote:<br>
<br>
> In practice, you can only register root CAs into browsers, and you're<br>
> strongly advised to *not* issue certificates directly under the root,<br>
> like it was the case some years ago with the big CA vendors selling<br>
> X.509v1 certificates. So a company acting as a CA has at least one<br>
> root CA,<br>
<br>
</div>There are certainly some companies that act as CAs that are "only"<br>
subordinate/intermediate CAs.  We know this with a fair degree of certainty,<br>
because companies that operate root CAs have asked us, "can you use the<br>
Observatory to tell us what this company we issued a sub-CA to has been<br>
signing with it?".</blockquote><div><br></div><div>Nobody has ever disputed the fact that some of the intermediate certs are cross certificates.</div><div><br></div><div>What has now been proven is that most of those certificates are not cross certificates. Yet you still cling to making that claim.</div>
<div><br></div><div><br></div><div>Who is your supervisor at the EFF?</div><div><br></div><div>Is there someone we can take this up with who is interested in the truth of the claims made?</div><div><br></div><div><br></div>
</div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br><br>