<div dir="ltr">No. It has nothing to do with IP.<div>Since in NDNCERT, the certificate is named with the hierarchy, the certificate is also under the prefix of CA.</div><div>This allows certificate fetch when it's a new certificate issued (thus the requester's prefix has not been registered).</div><div>I know this cannot guarantee the Interest can reach the CA considering the long prefix match and other scenarios like renew.</div><div>That's why in the original NDNCERT design, I also designed a download step with the name: /CA-prefix/CA/download/request-id to get the certificate back.</div><div>This avoids the complexity of handling NLSR.</div><div><br></div><div>Best,</div><div>Zhiyi</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 18, 2021 at 5:56 PM Junxiao Shi <<a href="mailto:shijunxiao@email.arizona.edu">shijunxiao@email.arizona.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Hi Zhiyi<br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div><br></div><div><font size="4">Missing prefix registration of issued certificate</font></div><div>Currently, it's impossible to retrieve an issued certificate unless the requester is directly connected to the CA host.</div>To solve this issue, the CA needs to perform a prefix registration for each certificate, and use Origin=0x41 in the registration. This would cause local NLSR to initiate a routing announcement on each certificate name, so that the certificate is reachable from anywhere on the network.<div>This prefix registration should be deleted when the certificate falls out of CA's issued certificate cache, which also withdraws the routing announcement.</div></div></div></blockquote><div><br></div><div>I think this is not an issue given the requester will directly contact the CA?</div><div>After fetching the certificate, the requester should take responsibility to make his certificate available to the network.</div></div></div></blockquote></div><div dir="auto"><br></div><div dir="auto">No, you should not assume a direct IP connection. "The requester will directly contact the CA" should mean an Interest sent directly to the CA's name prefix, not a direct IP connection. In NDN we think about names, not host addresses.</div><div dir="auto"><br></div><div dir="auto">The CA profile packet should contain all the information needed to complete a certificate issuance procedure, and "IP address of the CA" is not in the CA profile.</div><div dir="auto"><br></div><div dir="auto">Case A: an end host could be IPv6-only but <i>suns</i> is IPv4-only, so that it's impossible to establish a direct connection. The end host would have to connect to udp6://<a href="http://ndnhub.ipv6.lip6.fr" target="_blank">ndnhub.ipv6.lip6.fr</a> that is the only IPv6-enabled router, and rely on testbed routing to reach your CA.</div><div dir="auto"><br></div><div dir="auto">Case B: a recent measurement indicates that <i>suns</i> does not accept packets from end hosts in Europe. Once again, they'll have to connect to another testbed router, and rely on testbed routing to reach your CA.</div><div dir="auto"><a href="https://atlas.ripe.net/measurements/29136922/#probes" target="_blank">https://atlas.ripe.net/measurements/29136922/#probes</a></div><div dir="auto"><br></div><div dir="auto">Case C: the requester could be on a web page using QUIC transport, and relies on a QUIC-to-NDN gateway to reach the testbed.</div><div dir="auto"><br></div><div dir="auto">Yours, Junxiao</div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
</blockquote></div></div>
</blockquote></div>