<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    I agree with Bruce. In principle we should avoid changing existing

    requirements in cleanup-clarifications-restructuring ballots.<br>

    <br>

    We also have no idea if removing the DSA algorithms would impact the

    Oracle Java Root Program (I assume it would not).<br>

    <br>

    <br>

    Best regards,<br>

    Dimitris.<br>

    <br>

    <div class="moz-cite-prefix">On 15/9/2021 5:40 μ.μ., Bruce Morton

      via Cscwg-public wrote:<br>

    </div>

    <blockquote type="cite"

cite="mid:0100017be9e68ae8-cd73981d-4cd5-4883-9622-d11eae1ac2ca-000000@email.amazonses.com">

      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

      <meta name="Generator" content="Microsoft Word 15 (filtered

        medium)">

      <!--[if !mso]><style>v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style><![endif]-->

      <style>@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}@font-face

        {font-family:DengXian;

        panose-1:2 1 6 0 3 1 1 1 1 1;}@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}@font-face

        {font-family:"\@DengXian";

        panose-1:2 1 6 0 3 1 1 1 1 1;}p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}span.EmailStyle20

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}div.WordSection1

        {page:WordSection1;}</style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

      <div class="WordSection1">

        <p class="MsoNormal">Hi Corey,<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Although I assume there would be no impact,

          removing DSA seems to be out of scope for the format change.

          <o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">This seems like a minor change that we

          could cover in another ballot. We might even agree to add this

          to one of the ballots, which Ian is proposing.<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Perhaps we can discuss at next weeks call.<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Thanks, Bruce.<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <div>

          <div style="border:none;border-top:solid #E1E1E1

            1.0pt;padding:3.0pt 0in 0in 0in">

            <p class="MsoNormal"><b>From:</b> Cscwg-public

              <a class="moz-txt-link-rfc2396E" href="mailto:cscwg-public-bounces@cabforum.org"><cscwg-public-bounces@cabforum.org></a>

              <b>On Behalf Of </b>Corey Bonnell via Cscwg-public<br>

              <b>Sent:</b> Wednesday, September 15, 2021 9:52 AM<br>

              <b>To:</b> Corey Bonnell

              <a class="moz-txt-link-rfc2396E" href="mailto:Corey.Bonnell@digicert.com"><Corey.Bonnell@digicert.com></a>;

              <a class="moz-txt-link-abbreviated" href="mailto:cscwg-public@cabforum.org">cscwg-public@cabforum.org</a><br>

              <b>Subject:</b> [EXTERNAL] Re: [Cscwg-public] DSA SubCAs:

              are they allowed?<o:p></o:p></p>

          </div>

        </div>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">WARNING: This email originated outside of

          Entrust.<br>

          DO NOT CLICK links or attachments unless you trust the sender

          and know the content is safe.<o:p></o:p></p>

        <div class="MsoNormal" style="text-align:center" align="center">

          <hr width="100%" size="2" align="center">

        </div>

        <p class="MsoNormal">My bad, forgot to add this to the bottom of

          the message:<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">[1] <a

href="https://docs.microsoft.com/en-us/security/trusted-root/program-requirements"

            moz-do-not-send="true">

https://docs.microsoft.com/en-us/security/trusted-root/program-requirements</a><o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <div>

          <div style="border:none;border-top:solid #E1E1E1

            1.0pt;padding:3.0pt 0in 0in 0in">

            <p class="MsoNormal"><b>From:</b> Cscwg-public <<a

                href="mailto:cscwg-public-bounces@cabforum.org"

                moz-do-not-send="true">cscwg-public-bounces@cabforum.org</a>>

              <b>On Behalf Of </b>Corey Bonnell via Cscwg-public<br>

              <b>Sent:</b> Wednesday, September 15, 2021 9:50 AM<br>

              <b>To:</b> <a href="mailto:cscwg-public@cabforum.org"

                moz-do-not-send="true">cscwg-public@cabforum.org</a><br>

              <b>Subject:</b> [Cscwg-public] DSA SubCAs: are they

              allowed?<o:p></o:p></p>

          </div>

        </div>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Hello,<o:p></o:p></p>

        <p class="MsoNormal">In removing the algorithm encoding

          requirements from the RFC 3647 draft CSBRs (<a

href="https://github.com/cabforum/code-signing/pull/6/commits/3e642a8cf2b5b1c7479e7e5031a6301c2fd6b828"

            moz-do-not-send="true">https://github.com/cabforum/code-signing/pull/6/commits/3e642a8cf2b5b1c7479e7e5031a6301c2fd6b828</a>),

          I encountered a potential inconsistency/ambiguity in the

          current CSBRs and Microsoft Root Program requirements.

          Appendix A of the current CSBRs allows for Roots and SubCAs to

          use a DSA key pair, but section B of the Microsoft Root

          Program [1] requirements for Roots and SubCAs seemingly do not

          by omission of DSA entirely.<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Given this, is it safe to conclude that the

          Microsoft Root Program currently prohibits DSA Roots and

          SubCAs? If so, can we disallow DSA ICAs in the RFC 3647 CSBRs

          to mirror the Microsoft Root Program requirements?<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Thanks,<o:p></o:p></p>

        <p class="MsoNormal">Corey<span

            style="font-family:"Arial",sans-serif;color:#686869"><o:p></o:p></span></p>

      </div>

      <i>Any email and files/attachments transmitted with it are

        confidential and are intended solely for the use of the

        individual or entity to whom they are addressed. If this message

        has been sent to you in error, you must not copy, distribute or

        disclose of the information it contains. <u>Please notify

          Entrust immediately</u> and delete the message from your

        system.</i>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <pre class="moz-quote-pre" wrap="">_______________________________________________

Cscwg-public mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Cscwg-public@cabforum.org">Cscwg-public@cabforum.org</a>

<a class="moz-txt-link-freetext" href="https://lists.cabforum.org/mailman/listinfo/cscwg-public">https://lists.cabforum.org/mailman/listinfo/cscwg-public</a>

</pre>

    </blockquote>

    <br>

  </body>

</html>