<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple style='word-wrap:break-word'><div class=WordSection1><p class=MsoNormal><b><span style='font-size:12.0pt'>Here are the final minutes of the subject call:<br><br></span></b><span style='font-size:12.0pt'><o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>CSC WG Conference Call 2021-11-18<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Role Call:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Bruce Morton<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Dimitris Zacharopoulos<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Inigo Barreira<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Andrea Holland<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Atsushi Inaba<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Correy Bonnell<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Chris Kemmerer<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Ian McMillan<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Kiran Tummala<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Tim Hollebeek<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Minutes of the previous Meeting were approved<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Discussion regarding SC-50 from Server Working Group:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Ballot is concerned with removal of 4.1.1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Discussion is postponed until any changes are required<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Ballot CSC-12:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Ballot has passed, in IPR review through 3rd December<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Ballot CSC-6:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>- Effective date is set to Sep 1st 2022 based on reccuring feedback from the group<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>- Date seems reasonable for most CAs but some want to double check time needed to implement<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>- Discussion of proposed changes to 16.3.1:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris points out that the CA shipping crypto modules with keys should explicitly be allowed to ship modules with multiple keys<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris also points out that the current language would allow the CA to import keys to the crypto module<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Hence, the CA should be required to generate a key inside the crypto module<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Sebastian mentions that since it is already required for the subscriber to generate keys on the module, it should follow for CAs to do the same<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Overall, there is agreement that it would make sense to add that requirement explicitly<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Language on the ballot is being updated slightly, as per Dimitris proposal over Email<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Ian proceeds to discuss the requirements around generating the key on a suitable hardware crypto module, with a CSR signed by the manufacturer to claim generation of the key on the hardware<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Discussing whether or not that phrasing might be redundant, Tim points out that an auditor would still be able to distinguish<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Upon a question for the difference between items 2 and 3, Dimitris points out that 2 is Remote Key Attestation while 3 is constrained by enrolment with a cetain crypto library<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Regarding item 4, Ian mentions that Microsoft provides verification by IT audit for their own CodeSigning<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Tim Hollebeek mentions that there are some others using this method<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris has concerns that the language may be misinterpreted by some to provide their own audit (non-FIPS) for the devices<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Tim mentions that some use non-standard security practices that in assurance level exceed what is required by the BR<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Bruce points out that an audit should ideally show only that a suitable device according to BR is used, not introduce evluation of a new device<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris still encourages reqording of the paragraph, to clarify<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Tim points at that "suitable" needs a more clear-cut definition of what is acceptable, are internal IT audits acceptable?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - For Ian, any audit that would clarify make, model and procedures would be sufficient but that didnt come through for the whole group<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris is also pointing at item 6, which specifies CA or qualified auditor witnessing key creation. Does this overlap with item 4?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Through discussion, it becomes clear that number 4 and 6 are meant for different purposes (bigger and smaller customers respectively)<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Tim points out that specifying IT audits would complicate this ballot and can be improved upon in the future<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris points out item number 8, and how approval might conflict with items 1 to 7<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - It's generally agreed that item number 8 is only meant to cover methods that are not described by item 1 through 7<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Regarding item number 8, CAs should also bring up additional methods to <a href="mailto:question@cabforum.org">question@cabforum.org</a>. This seems mostly important to CAs not participating (of whicht here are many)<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Looping back to item number 4, Dimitris is asking for clarification whether an itnernal or external audit should be used<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - There is discussion around whether and what should be clarified now and what should be addressed with a future ballot<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris will propose some language for clarification of item 4<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Bruce also raises some concerns regarding reuse, specifically for item 4 and 5 (limiting the validity of audits or reports)<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Bruce is pointing out that reuse is already addressed in section 11 (validation)<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris is mentioning that there are different reuse periods for EV and non-EV<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Ian believes that the reuse period of EV (13 months) is more appropiate, Bruce will update the ballot for items 4, 5 and 7<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Corey is mentioning that 11.7 also has some specifications regarding takeover attacks and wondering whether these should be updated as well<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris agrees that it should be updated with the ballot, Ian agrees to update<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>- Discussion regarding CSBR format change: <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Corey has been distributing an updated mapping document and incorporated CSC-11 changes<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris agrees that most mapping seems ok so far, with only some comments remaining<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Dimitris comes with a reminder that clarification ballots should not introduce normative changes<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - The appendix with certificate profile sections talks about Email Protections EKUs being allowed - should this be added to 3647 conversion?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Corey refers to MS Root program requirements for Email protection and Document Signing EKUs<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Bruce suggests that while not updating with the conversion, but introducing a new ballot immediately to make the changes. The group agrees<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Corey is addressing the delegation of audits as well, with Dimitris agreeing that the section needs further discussion (section 14.2.1)<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - For Dimitris, it reads as if delegated RA can be internall audited<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - Overall, it doesn't seem like it's a format change issue but there's a problem with the existing content not being understood properly<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - If it's not understood, should it not be moved or moved just somewhere because some may rely on it?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>              - There's agreement that the item needs further discussion and updating before introduing a format change<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'>Next Meeting is December 2nd, Meeting is adjourned<o:p></o:p></span></p><div style='border:none;border-bottom:solid windowtext 1.0pt;padding:0in 0in 1.0pt 0in'><p class=MsoNormal><span lang=EN-GB style='font-size:12.0pt'><o:p> </o:p></span></p></div></div></body></html>