Skip to Content.
Sympa Menu

cacert-policy - RE: [CAcert-Policy] Propose Study Group for legal issues

Subject: Policy-Discussion

List archive

RE: [CAcert-Policy] Propose Study Group for legal issues

Chronological Thread 
  • From: "Peter Williams" <home_pw AT>
  • To: "'Policy-Discussion'" <cacert-policy AT>
  • Subject: RE: [CAcert-Policy] Propose Study Group for legal issues
  • Date: Tue, 24 May 2005 00:46:14 -0700
  • List-archive: <>
  • List-id: Policy-Discussion <>

> Actually I've heard some interesting things that Microsoft accepts, from
> a variety of sources and I'm literally horrified about their root list.
> As for Opera, I have heard some interesting things about their
> requirements as well.
The original criteria were purely mercenary - be equivalent to Netscape in
all respects, and then go beyond by adding more value due to the reach of
the platform. I personally signed the first MS cert, @ VeriSign, and
debugged some PKCS#10 coding errors. At that time, a vague assertion to "be
good" was the only requirement to be included in what became the root key
store (CryptoAPI 2.x onwards): plus the social skills to not pissoff the
program manager of the day (which seemed to change once a year), by adding
some sort of third party value of the application platform. This changed; an
obligation on legacy root authorities to pass webtrust in a certain
timeframe was instituted in about 2001, if I remember right.

Three of the roots that are in worldside use now, comemrciall, I personally
made and got audited by a webtrust licensed auditor: they are now controlled
by other entities, who bought them.... post audit and after a controlled
transfer process, that augmented webtrust assurances, but followed in the
spirit of the design of that particular criteria set. They still have
ValiCert's name in the root cert, obviously: not that ValiCert even exists
as a legal

There are some governmental agencies that have been able to convince MS that
their processes were equivalent to WebTrust, and they were credible. But,
these CAs are not commercial CAs in any sense: you cannot go and buy a cert
from these folks; they generally only run private-label CAs, mainly for
their sponsoring govt depts.

If you recall the original Netscape Navigator 3.x and Communicator root set,
it included GTE CyberTrust (which ran the East coast NSA key management
facility for a while, and tried to compete against IBM for the Mastercard
key management account). Upon the repurchase of GTE by BBN, these roots
became BBN property (an NSA key management system design/build contractor,
whose signing unit VeriSign originally used, at 2 mins signing time per
cert, on a 68000!). The business unit was then sold off for a measely $15M
to Baltimore (with its marvellously inane UK based crypto device legacy),
which died commercially (though lingered in Australia for a year.) I've no
idea who controls those roots, now! What a history those 3 lots of 1024 bits
have had!


Archive powered by MHonArc 2.6.16.

Top of Page