<div dir="ltr"><div dir="ltr"><div>Thanks for the suggestion Tim - I made the change.</div><div><br></div><div>Here is a draft ballot - are two members willing to endorse?</div><div><br></div><div>- Wayne<br></div><div>===============================================<br></div><div>Ballot SC#: Validation Method in Certificate Policies Extension<br><br>Purpose of Ballot<br>Late in 2017 a number of vulnerabilities were discovered in existing domain validation methods. There was and still is no way to accurately determine the scope of the problem. Since then, the Validation subcommittee has discussed the need for better data on the use of validation methods. At the London Face-to-face meeting, a proposal to gather this data by encoding validation methods in a certificate extensions was discussed, and since then the proposal has been refined to address technical concerns.<br><br>This ballot requires disclosure of the domain and IP address validation methods used in the vetting of all TLS certificates issued on or after July 1, 2019. Disclosure is made by encoding this information in a new extension in the certificate. Care has been taken to minimize the increase in the size of certificates by encoding this information as a series of bits.<br><br>The following motion has been proposed by Wayne Thayer of Mozilla and endorsed by XXX of YYY and XXX of YYY.<br><br>--- MOTION BEGINS ---<br><br>This ballot modifies the “Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates” as follows, based on Version 1.6.0:

Add subsections (g) and (h) to section 7.1.2.3 as follows:<br><br> g.   cabf-BRDomainValidation (2.23.140.1.11) (required on or after July 1, 2019 if the certificate contains any subjectAlternativeName entries of type DNSName)<br><br>This extension contains a binary encoding of every distinct method performed by the CA to validate domain control or ownership of each FQDN contained in the certificate's subjectAlternativeName. If an FQDN has been validated using multiple methods, the CA MAY assert more than one of the methods. This extension SHOULD NOT be marked critical.<br><br>Bits representing the use of one or more section 3.2.2.4 domain validation methods MUST be encoded in this extension as follows:<br><br>The leading bit in position 0 is reserved. Each subsequent bit represents the corresponding subsection of section 3.2.2.4 used to perform domain validation. The corresponding bit MUST be set to indicate that the method was used for validation.<br><br>BRDomainValidationMethods ::= BIT STRING {<br>  unused (0),<br>  method3224_1 (1),<br>  method3224_2 (2),<br>  method3224_3 (3),<br>  method3224_4 (4),<br>  method3224_5 (5),<br>  method3224_6 (6),<br>  method3224_7 (7),<br>  method3224_8 (8),<br>  method3224_9 (9),<br>  method3224_10 (10),<br>  method3224_11 (11),<br>  method3224_12 (12)<br>}<br><br>id-cabf-BRDomainValidation OBJECT IDENTIFIER ::= { 2.23.140.1.11 }<br><br>ext-cabf-BRDomainValidation EXTENSION ::= { SYNTAX BRDomainValidationMethods IDENTIFIED BY id-cabf-BRDomainValidation }<br><br> h.   cabf-BRIPAddressValidation (2.23.140.1.12) (required on or after July 1, 2019 if the certificate contains any subjectAlternativeName entries of type IPAddress)<br><br>This extension contains a binary encoding of every distinct method performed by the CA to validate IP address control or ownership of each IP address contained in the certificate's subjectAlternativeName. If an IP address has been validated using multiple methods, the CA MAY assert more than one of the methods. This extension SHOULD NOT be marked critical.<br><br>Bits representing the use of one or more section 3.2.2.5 IP address validation methods MUST be encoded in this extension as follows:<br><br>The leading bit in position 0 is reserved. Each subsequent bit represents the corresponding subsection of section 3.2.2.5 used to perform domain validation. The corresponding bit MUST be set to indicate that the method was used for validation.<br><br>BRIPAddressValidationMethods ::= BIT STRING {<br>  unused (0),<br>  method3225_1 (1),<br>  method3225_2 (2),<br>  method3225_3 (3),<br>  method3225_4 (4),<br>}<br><br>id-cabf-BRIPAddressValidation OBJECT IDENTIFIER ::= { 2.23.140.1.12 }<br><br>ext-cabf-BRIPAddressValidation EXTENSION ::= { SYNTAX BRIPAddressValidationMethods IDENTIFIED BY id-cabf-BRIPAddressValidation }<br><br>--- MOTION ENDS ---<br><br>This ballot proposes a Final Maintenance Guideline.

A comparison of the changes can be found at: <a href="https://github.com/cabforum/documents/compare/master...wthayer:Ballot226" target="_blank">https://github.com/cabforum/documents/compare/master...wthayer:Ballot226</a>
<br><br>The procedure for approval of this ballot is as follows:<br><br>Discussion (7+ days)<br>Start Time: TBD UTC<br>End Time: TBD UTC<br><br>Vote for approval (7 days)<br>Start Time: TBD UTC<br>End Time: TBD UTC<br></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Oct 8, 2018 at 9:56 AM Tim Hollebeek <<a href="mailto:tim.hollebeek@digicert.com" target="_blank">tim.hollebeek@digicert.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div class="m_-8382650563748613983m_-141255180479198212WordSection1"><p class="MsoNormal">Might want to use underscores to make it clear where the method number starts.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">E.g. “method3224_1” through “method3224_12”.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">-Tim<u></u><u></u></p><p class="MsoNormal"><br></p></div></div></blockquote></div></div>