<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, May 30, 2016 at 5:58 PM, Viktor Dukhovni <span dir="ltr"><<a href="mailto:openssl-users@dukhovni.org" target="_blank">openssl-users@dukhovni.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div id=":1np" class="a3s aXjCH m15504f672fc22d68">Name constraints in the X.509v3 PKI have not worked well, and are<br>
rarely used.  The attack requires a issuing CA to be willing to<br>
issue certificates beyond its constraints, that would be quite<br>
noticeable and rather unwise.  So I think this is not a major<br>
problem.  We should probably make a reasonable effort to address<br>
this, but the urgency is I think low.</div></blockquote></div><br>Not too long ago, there were changes to the CABForum rules about certificates to make it easier for any website to get a CA certificates constrained to its domain name. There were some problems with the loosening of the rules, and Apple has been slow to implement name constraints, so not many websites are taking advantage of them. But, soon, I am hopeful, and I expect, that it will soon be as easy to get name-constrained CA certificate as it is to get a wildcard certificates now. In fact, it is really important for the security of many (smaller and medium-sized) websites that this become possible, because this would make HPKP work much better and reduce risks relative to wildcard certificates.<br><br>In particular, we should be designing things based on the assumption that in the next few years, the owner of <a href="http://briansmith.org">briansmith.org</a> can get a CA certificate with name constraint of dNSName=<a href="http://briansmith.org">briansmith.org</a>. Then the owner of <a href="http://briansmith.org">briansmith.org</a> will be able to put Subject={CN=<a href="http://google.com">google.com</a>} in his certificates if he feels like it. And, we shouldn't even expect such certificates to be revoked because they will be harmless to anybody that does validation correctly (i.e. by either ignoring the subject CN or by applying name constraints to the subject CN).</div><div class="gmail_extra"><br></div><div class="gmail_extra">Is such a nuanced thing something that application developers can really be expected to deal with on their own? I doubt it.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Cheers,</div><div class="gmail_extra">Brian</div><div class="gmail_extra">-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://briansmith.org/" target="_blank">https://briansmith.org/</a></div><div><br></div></div></div></div></div></div></div>
</div></div>