<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle22
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:186531241;
        mso-list-template-ids:2123516364;}
@list l0:level1
        {mso-level-start-at:5;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1
        {mso-list-id:720983831;
        mso-list-template-ids:-1661675818;}
@list l1:level2
        {mso-level-number-format:bullet;
        mso-level-text:\F0B7;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l2
        {mso-list-id:1160198618;
        mso-list-type:hybrid;
        mso-list-template-ids:473042688 67698703 67698689 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l2:level1
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l2:level2
        {mso-level-number-format:bullet;
        mso-level-text:\F0B7;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;
        font-family:Symbol;}
@list l2:level3
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l2:level4
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l2:level5
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l2:level6
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l2:level7
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l2:level8
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l2:level9
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Here are the final minutes of the subject call:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><ol style='margin-top:0in' start=1 type=1><li class=MsoNormal style='mso-list:l2 level1 lfo3'>Roll call: Bruce Morton, Tim Callan, Tim Crawford, Mike Reilly, Atsushi Inaba, Rick Smith, Hugh Mercer, Tomas Gustavson<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level1 lfo3'>Antitrust statement: Read by Bruce<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level1 lfo3'>Minutes for July 30, 2020 and August 13, 2020 were approved<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level1 lfo3'>Review Of Parking Lot List:<o:p></o:p></li><ul style='margin-top:0in' type=disc><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Items owned by Ian were not discussed as Ian did not attend the meeting.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Section 7.2 – Bruce was working on separating the CA and the Signing Service warranties. Bruce had some questions about trying to understand the Signing Service model which the document is trying to support. There appears to be an issue as the EV Guidelines were created with a Signing Authority which could get a 135 month certificate, but the BRs were created with a Signing Service which could authenticate Subscribers and host Subscriber certificates. It was also discussed that an enterprise might be providing s Signing Service for internal use, but it was suggested that this is really the Subscriber model. There was no clear consensus on the model we are trying to present. Further it was discussed that if a cloud-provider if hosting the keys that this is NOT a Signing Service. It was suggested that to minimize the issue, the BRs could be edited so that the Signing Service is only provided by the CA and not by another third party. This would seem to make it less risky for the end users and easier to audit.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Section 14 – Bruce stated that this is a Non-EV versus EV issue and would make a proposal on this issue at a future meeting.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Section 15 – Bruce did review the logging issues for the CAs/Signing Authorities vs TSA. The problem has now been complicated as the SSL BRs has updated the logging section for CAs, which might not be applicable to TSAs. Bruce proposed not to make a change at this time.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Section 17.1 – The question was do we still need special audit requirements for governments. Mike stated that Microsoft is trying to remove government from the code signing business. When this is resolved, Microsoft will make a proposal to remove this requirement.<o:p></o:p></li><li class=MsoListParagraph style='margin-left:0in;mso-list:l2 level2 lfo3'>Non-EV versus EV items – Bruce proposed that he would go through the BRs to make comments on all Non-EV vs EV issues to be presented at a future meeting.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Section 17.1 (2) – Until there is both a single BR document and single WebTrust audit criteria, there may be 2 audit reports for a CA which does both Non-EV and EV code signing audits. This should resolve itself over the next year or so.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Section 11.8 – This is regarding 2 person control for Non-EV verification. It was agreed that the BRs are stating that 2 person control is required for vetting Non-EV code signing certificates. This could be considered a Non-EV versus EV issue, which will be discussed at a future meeting.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Section 17.8 – This is a Non-EV vs EV issue regarding root key generation, which will be addressed at the future meeting. It was suggested that BR 6.1.1.1 could be used for both Non-EV and EV roots.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level2 lfo3'>Appendix A – Ian has submitted a proposal to extend SHA-1 to April 2022.<o:p></o:p></li></ul></ol><p class=MsoNormal style='margin-left:1.0in'><o:p> </o:p></p><ol style='margin-top:0in' start=5 type=1><li class=MsoListParagraph style='margin-left:0in;mso-list:l2 level1 lfo3'>IPR Review period for ballot CSC-2 ends September 2, 2020. There has been no submissions to date. The new document should be good for use as of September 3, 2020.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level1 lfo3'>Next meeting:  September 10, 2020 – Since Ian is on vacation, we decided to push the High Risk discussion to September 24, 2020. The September 10, 2020 meeting will discuss Non-EV vs EV changes.<o:p></o:p></li><li class=MsoNormal style='mso-list:l2 level1 lfo3'>Adjourn<o:p></o:p></li></ol><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Bruce Morton<o:p></o:p></p><p class=MsoNormal>Vice Chair CSCWG<o:p></o:p></p></div></body></html>