<div dir="ltr">So does this mean Iran & the like can stop hacking CAs and buy their own Geotrust cert to MITM their population?<br><div><div><br><br></div></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature">-----------------------------------------------------------------------------------------------<br>-ITG (ITechGeek)<br>ITG@ITechGeek.Com<br><a href="https://itg.nu/" target="_blank">https://itg.nu/</a><br>GPG Keys: <a href="https://itg.nu/contact/gpg-key" target="_blank">https://itg.nu/contact/gpg-key</a><br>Preferred GPG Key: Fingerprint: AB46B7E363DA7E04ABFA57852AA9910A DCB1191A<br>Google Voice: +1-703-493-0128 / Twitter: ITechGeek / Facebook: <a href="http://fb.me/Jbwa.Net" target="_blank">http://fb.me/Jbwa.Net</a><br></div></div>
<br><div class="gmail_quote">On Sun, Apr 5, 2015 at 6:03 PM, Jeffrey Walton <span dir="ltr"><<a href="mailto:noloader@gmail.com" target="_blank">noloader@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><a href="http://www.prnewswire.com/news-releases/geotrust-launches-georoot-allows-organizations-with-their-own-certificate-authority-ca-to-chain-to-geotrusts-ubiquitous-public-root-54048807.html" target="_blank">http://www.prnewswire.com/news-releases/geotrust-launches-georoot-allows-organizations-with-their-own-certificate-authority-ca-to-chain-to-geotrusts-ubiquitous-public-root-54048807.html</a><br>
<br>
It appears Google's Internet Authority G2 (<a href="https://pki.google.com" target="_blank">https://pki.google.com</a>)<br>
could be part of this program since the subordinate CA is certified by<br>
GeoTrust Global CA. If you look at the certificate, it is *not* name<br>
constrained so Google can mint certificates for any domain (and not<br>
just its web properties). I'm not too worried about Google. But I<br>
can't say the same for any old organization that joins this program.<br>
<br>
Both the IETF and CA/B Forums have name constraints that could be used<br>
to enforce policy. The relevant documents are RFC 5280, 4.2.1.10 Name<br>
Constraints and Baseline Requirements, 9.7 Technical Constraints in<br>
Subordinate CA Certificates via Name Constraints.<br>
<br>
I'm not sure if the program targeting organizations as a subordinate<br>
CA is a bad idea or if GeoTrust is doing a bad job by not using name<br>
constraints. But as it stands, I don't like the smell of things.<br>
_______________________________________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
</blockquote></div><br></div>