<div dir="ltr"><div dir="ltr"><div>Hi Zhiyi</div><div><br></div><div>Comments on revision 2cf5f47.</div><div>Other than this protocol, it's time to start another document(s) to specify each of the common challenges.</div><div class="gmail_quote"><div><div><br></div><div><b>Terminology</b></div><div>"the TLV encoding of integer, string, and bytes all follow NDN TLV encoding", but none of these encodings is specified on the linked page.<br></div><div><br></div><div>Missing space before "signed Interest".</div></div><div><br></div><div><b>INFO step</b></div><div>Rename this section to "CA profile". It's a static Data packet, not a protocol round.</div><div><div><br></div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"> I removed `certificate` from the CA profile because we can reuse CertificateV2.</div></blockquote><div>This is a bad idea. The top level TLV-TYPE for CertificateV2 is 0x06 Data, which could be ambiguous. It is also inconsistent with NEW step where a self-signed CertificateV2 is nested inside cert-request TLV.</div><div><br></div><div>In the ABNF, simplify <font face="monospace">[*parameter-key]</font> to <font face="monospace">*parameter-key</font> .</div><div>* denotes "repeat zero to infinity times".</div><div><br></div><div><b>PROBE step</b></div><div>The example should show a concrete example of CA prefix, not "<CA-Prefix>". Likewise, show a concrete example instead of "<ParameterDigest>".</div><div><br></div><div>Link in "Name" should refer to a specific version of NDN Packet Format, not "current".</div><div><br></div><div>Since PROBE response must contain at least one name, <font face="monospace">*Name</font> should be <font face="monospace">1*Name</font> . Also see below.</div><div><b><br></b></div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div>I also added `allow-longer-name` to the CA profile to indicate whether CA allows longer identity name applications (apply /example/alice).</div></blockquote><div>This does not belong in the CA profile, but should appear in the PROBE response along with each prefix.</div><div><ul><li>Not every CA needs a PROBE step. Without a PROBE step, there's no such thing as "identity name".</li><li>When a CA returns multiple allowable names in a PROBE response, it could allow longer names for some prefixes but not others.</li></ul><div></div></div></div><div>The format could be:</div><div><font face="monospace">Content = CONTENT-TYPE TLV-LENGTH 1*</font>probe-response </div><div><font face="monospace">probe-response = PROBE-RESPONSE-TYPE TLV-LENGTH Name [allow-longer-name]</font></div><div><font face="monospace">allow-longer-name = ALLOW-LONGER-NAME-TYPE TLV-LENGTH ;==0</font></div><div><br></div><div>parameter-key TLV-TYPE is assigned to be 0x85 in INFO step, but it has a different number in this step. I'd suggest putting all TLV-TYPE assignments in the same table at the end, to avoid such errors.</div><div><br></div><div><b>NEW step</b></div><div>Can the requester request a certificate beyond the expiration time of the CA certificate?</div><div>Generally it does not make sense, and should be disallowed.</div><div>In other words: MAX(NOW, ca-certificate.NotBefore) <= cert-request.NotBefore <= cert-request.NotAfter <= MIN(NOW + max-validity-period, ca-certificate.NotAfter).</div><div><br></div><div>Currently the CA rejects requests with out-of-bound ValidityPeriod. An alternative is truncating ValidityPeriod to what the CA allows.</div><div><br></div><div>Can the CA return zero challenges in a NEW response? If it cannot, write as <font face="monospace">1*challenge</font> in ABNF.</div><div><br></div><div><b>CHALLENGE step</b></div></div></div><div class="gmail_quote"><div>"initial vector" should be "initialization vector".</div><div><br></div><div>Pronouns such as "his/her" and "he/she" could be simplified as "they", because the requester is not necessarily a person, but a computer program.</div><div><br></div><div>Yours, Junxiao</div></div></div>