<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Sep 18, 2013 at 5:50 PM, Viktor Dukhovni <span dir="ltr"><<a href="mailto:cryptography@dukhovni.org" target="_blank">cryptography@dukhovni.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Sep 18, 2013 at 08:47:17PM +0000, Viktor Dukhovni wrote:<br>
<br>
> On Wed, Sep 18, 2013 at 08:04:04PM +0100, Ben Laurie wrote:<br>
><br>
> > > This is only realistic with DANE TLSA (certificate usage 2 or 3),<br>
> > > and thus will start to be realistic for SMTP next year (provided<br>
> > > DNSSEC gets off the ground) with the release of Postfix 2.11, and<br>
> > > with luck also a DANE-capable Exim release.<br>
> ><br>
> > What's wrong with name-constrained intermediates?<br>
><br>
> X.509 name constraints (critical extensions in general) typically<br>
> don't work.<br>
<br>
</div>And public CAs don't generally sell intermediate CAs with name<br>
constraints.  Rather undercuts their business model.<br>
<div class="HOEnZb"><div class="h5"><br></div></div></blockquote><div><br></div><div>This is no longer the case. Best Practice is now considered to be to use name constraints but not mark them critical.</div><div><br></div>
<div>This is explicitly a violation of PKIX which insists that a name constraint extension be marked critical. Which makes it impossible to use name constraints as they will break in Safari and a few other browsers. </div>
<div><br></div><div>The refusal to make the obvious change is either because people do not understand the meaning of the critical bit or the result of some of that $250 million being felt in the PKIX group. As I pointed out at RSA, the use of name constraints might well have prevented the FLAME attack working.</div>
</div><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>