<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 16, 2018 at 2:10 PM, Doug Beattie <span dir="ltr"><<a href="mailto:doug.beattie@globalsign.com" target="_blank">doug.beattie@globalsign.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div class="m_8409893345679400582WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">I’m not sure I follow the details or necessarily agree with Dimitris (sorry).  Let me propose this a different way.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">First, let’s forget about method 1, that has no bearing on this proposal.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">For this proposal, we’re looking at the specific validation methods in 3.2.2.4.2/.3/.4 and we’re giving the domain approver the option of saying: If you see any
 future domains that I (same applicant) request to be added to my managed account with the same contact email (or phone, SMS, postal address, fax) that you used to contact me for this approval, then just approve them and don’t “bother” me. </span></p></div></div></blockquote><div><br></div><div>Except you haven't necessarily validated that it's "same applicant".</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_8409893345679400582WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">If I wanted to add a domain to my managed service account and used the email listed in who-is, I would be asked 2 questions upon receipt of that approval email:
<u></u><u></u></span></p>
<p class="m_8409893345679400582MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><span>1)<span style="font:7.0pt "Times New Roman"">     
</span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Do you approve this domain to be added to your account, and
<u></u><u></u></span></p>
<p class="m_8409893345679400582MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><span>2)<span style="font:7.0pt "Times New Roman"">     
</span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Do you approve, in advance, all domains that have this email address listed in who-is .<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Assume I said yes to #2.  If I created a new domain with my email as a point of contact and I (same applicant) asked for that to be added to my managed account,
 the CA would verify that the email address from who-is matches, then add it to my account.  No need to send me another email (or phone call, or postcard, or fax or SMS)</span></p></div></div></blockquote><div><br></div><div>Except you haven't actually validated that the Applicant controls/authorizes the additional domains, nor that they're authorized for #2.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_8409893345679400582WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">For the sake of clarity, if I said yes to #2, and if the approval was done via email, future domains CANNOT be automatically added if the email does not match
 even if the SMS, Fax, Postal or phone match.  Remember, the scope of this is only for that applicant, same as reusing the domain validation for any domain.  You’re reusing this authorization for other domains that would be validated using exactly the same
 method and contact details (back to the same domain owner).<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">This method would support phone, fax, email, SMS and postal address methods, same as methods 3.2.2.4.2/.3/.4 do today.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">I think this resolves the issues you pointed earlier:<u></u><u></u></span></p>
<p class="m_8409893345679400582MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">The Applicant is not involved in the approval process<u></u><u></u></span></p>
<p class="m_8409893345679400582MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">This is an explicit authorization from the domain owner or contact<u></u><u></u></span></p>
<p class="m_8409893345679400582MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">There is no subscriber agreement issue<u></u><u></u></span></p>
<p class="m_8409893345679400582MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">This does not involve 4.2.1<u></u><u></u></span></p>
<p class="m_8409893345679400582MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">The Stripe related vulnerability does not exist<u></u><u></u></span></p>
<p class="m_8409893345679400582MsoListParagraph"><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><span>-<span style="font:7.0pt "Times New Roman"">         
</span></span></span><u></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">There is no confusing/vague Organizational matching logic needed</span></p></div></div></blockquote><div>This doesn't resolve the fact that you haven't actually established that the Applicant authorized for those additional domains. You're trusting the Applicant-Attacker, without actually establishing the binding.</div><div><br></div><div>Consider the following:</div><div>I work at Victim Corp as network administrator, and request a certificate for <a href="http://example.com">example.com</a> from GlobalSign. I set the DNS Hostmaster email to <a href="mailto:hostmaster@example.com">hostmaster@example.com</a> , which forwards to my mailbox, and I request your proposed future-authorization for all new domains. I create an account with GlobalSign, using my <a href="mailto:sleevi@example.com">sleevi@example.com</a> email, to manage these requests.</div><div><br></div><div>Then I (leave the company, transfer to a different role). Victim Corp decides to no longer use GlobalSign, and goes over to HARICA (if, well, HARICA issued commercially). My successor doesn't know about my account / thinks the relationship with GlobalSign is over. They introduce new domains, such as <a href="http://example.net">example.net</a> and <a href="http://example.org">example.org</a> for Sales and Marketing, respectively, with the same "<a href="mailto:hostmaster@example.com">hostmaster@example.com</a>" email. Yet I, ex-employee/ex-authorized party, can now cause certificates for <a href="http://example.net">example.net</a> and <a href="http://example.org">example.org</a> to be issued, even though I have no legitimate authorization to do so. </div><div><br></div><div>This is why it's essential to ensure that the domain operator be contacted. I don't think a "Well, don't do that" is a sufficient answer to the problem, because this is the inherent risk of scoping future authorizations without revalidation. I understand that some CAs even want this grant to be perpetual (i.e. not tied to an expiration, such as the 825 days from when the contract was executed), which is an even worse result.</div></div></div></div>