<p dir="ltr">I think that press release is years old.  GeoTrust was bought by VeriSign years ago who was then bought by Symantec.</p>
<p dir="ltr">This kind of agreement now requires the subordinate to be audited to the same standards as all other public CAs.</p>
<div class="gmail_quote">On Apr 5, 2015 3:03 PM, "Jeffrey Walton" <<a href="mailto:noloader@gmail.com">noloader@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><a href="http://www.prnewswire.com/news-releases/geotrust-launches-georoot-allows-organizations-with-their-own-certificate-authority-ca-to-chain-to-geotrusts-ubiquitous-public-root-54048807.html" target="_blank">http://www.prnewswire.com/news-releases/geotrust-launches-georoot-allows-organizations-with-their-own-certificate-authority-ca-to-chain-to-geotrusts-ubiquitous-public-root-54048807.html</a><br>
<br>
It appears Google's Internet Authority G2 (<a href="https://pki.google.com" target="_blank">https://pki.google.com</a>)<br>
could be part of this program since the subordinate CA is certified by<br>
GeoTrust Global CA. If you look at the certificate, it is *not* name<br>
constrained so Google can mint certificates for any domain (and not<br>
just its web properties). I'm not too worried about Google. But I<br>
can't say the same for any old organization that joins this program.<br>
<br>
Both the IETF and CA/B Forums have name constraints that could be used<br>
to enforce policy. The relevant documents are RFC 5280, 4.2.1.10 Name<br>
Constraints and Baseline Requirements, 9.7 Technical Constraints in<br>
Subordinate CA Certificates via Name Constraints.<br>
<br>
I'm not sure if the program targeting organizations as a subordinate<br>
CA is a bad idea or if GeoTrust is doing a bad job by not using name<br>
constraints. But as it stands, I don't like the smell of things.<br>
_______________________________________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
</blockquote></div>