<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"Bradley Hand ITC";
        panose-1:3 7 4 2 5 3 2 3 2 3;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        color:black;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">To:          CA/Browser Forum Members and members of the public:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Trend Micro has re-posted its original governance proposal (<i><u>without changes</u></i> from the last round of voting) as part of the run-off election with Digicert, and has also responded to certain clarifying questions. 
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">We want to present a brief critical analysis / pros and cons of the Trend Micro proposal versus the Digicert proposal as we see it for your consideration, and we have recommended that Digicert do the same.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">First, many thanks to Digicert for its hard work on a thoughtful, well-considered new governance approach. 
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here are the drawbacks to the Digicert proposal, as Chris Bailey and I see them. 
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt">1.        The Digicert proposal allows “Interested Parties” (IPs, like PayPal and others) to vote on new mandatory rules for CAs, which could significantly affect CA operations and increase
 costs with no corresponding benefit to the public.  IPs might have their own corporate or personal agendas, might attempt to impose new burdens on CAs to make their own product offerings easier or less expensive for them, etc. 
<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt">Examples of new CA requirements promoted by IPs could include increasing mandatory CA liability and/or insurance for cert issuance, changing certificate vetting or certificate profiles to require additional vetting
 or breaking common user applications, outlawing common and useful types of certs, etc.  While Trend Micro welcomes comments and suggestions from IPs through new Working Groups, we believe that only CAs and browsers together should vote on the mandatory rules
 that are imposed on the CAs by the browsers through their trusted root programs.<o:p></o:p></p>
<p class="MsoListParagraph" style="margin-left:27.0pt;text-indent:-27.0pt"><span style="color:windowtext"><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt">2.        The Digicert proposal requires annual membership fees (suggested at $2,000) that could be burdensome on smaller and non-North American CAs, including those who can’t travel to every
 face-to-face meeting, and may reduce the number of Forum Members.  Trend Micro believes there should be no mandatory fees so that we can encourage maximum CA membership and participation.<o:p></o:p></p>
<p class="MsoListParagraph" style="margin-left:27.0pt;text-indent:-27.0pt"><span style="color:windowtext"><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt">3.        Likewise, the Digicert annual membership fees would apply to IPs as well (even those who only participate in Working Groups), and are high enough ($2,000) to discourage many potential
 IPs who might want to be involved in the Forum.  Under the Trend Micro proposal, IPs can participate in Working Groups for free, which will attract a larger number of IPs, including especially individuals and smaller companies with an interest in online security.<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt">4.        The Digicert proposal gives greater rights to Members who pay a higher membership fee (specifically, the $10,000 membership fee necessary to serve on in the Board).  Many current
 Forum Members may find it difficult to justify a $2,000 annual expense to maintain their current general membership, and will not be able to pay $10,000 to be a Board member. 
<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt">Trend Micro believes all Forum Members – big and small – should have equal voting rights in the Forum, and that it would be a mistake to create greater membership rights (i.e., Board membership, with a separate
 right to vote for or against ratification of a matter after it has already been approved by the Forum Members) for those Forum Members who pay more.  We expect many smaller CA Members, especially non-North American Members, will not be willing to pay for Board
 membership.  By keeping equality among all Forum Members and not creating a Board with extra powers is more is in keeping the Forum’s past goal of requiring “substantial consensus” among all CAs and browsers to adopt mandatory CA standards.<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt">5.        The Digicert proposal does not state the maximum size of the Board, so we assume it can include all Forum Members who pay the required annual fee of $10,000 for Board membership. 
 However, we note that only <u>17 Members</u> total voted on the first round of governance reform.  Assuming these 17 Members plus PayPal sign up for membership under the Digicert proposal, we would only have
<u>18 Members total</u>.  If, for example, 10 of these Members choose to pay the $10,000 annual fee to be on the Board, we would have a very lopsided organization – we would have a Board of 10 members (with special powers to ratify or block all previous actions
 of the Forum), and 8 additional Members who do not have Board rights.  So the 8 Members not on the Board could feel like second class citizens – the Members who are on the Board get to vote
<i><u>twice</u></i> on every matter, bur regular Members only get to vote once.  This is not a healthy dynamic.<o:p></o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:27.0pt;text-indent:-27.0pt">6.        Finally, the Digicert proposal adds expense (what would the Forum do with $100,000+ in annual dues?) and extra procedural steps for every project.  Our current Forum structure has
 been very functional, fairly efficient (and has seriously addressed ideas and suggestions from IPs), and low cost – why change that?<o:p></o:p></p>
<p class="MsoNormal"><span style="color:black"><o:p> </o:p></span></p>
<p class="MsoNormal">We recommend adoption of the Trend Micro governance proposal instead because (1) it allows for openness and public participation by Independent Parties in Working Groups without requiring them to pay a $2,000 membership fee, (2) it preserves
 the present voting system for imposing new mandatory requirements on CAs (CAs and browsers only) so third parties can’t impose their own rules on CAs, (3) it keeps the Forum’s activities more streamlined, without adding extra layers of approval or complicated
 new voting rules, (4) it treats all Member equally – small and non-North American CAs have the same participation and voting rights as the larger CAs and browsers,  (5) it keeps Forum costs to a minimum, and does not require smaller CAs or Independent Parties
 to pay $2,000 or $10,000 to participate, and (6) the current structure has been efficient in handling numerous important projects over the past seven years, with an impressive work product (EVGL, BRs, etc.).  By choosing the Trend Micro governance proposal,
 the Forum is likely to encourage participation by the maximum number of international and smaller CAs and Independent Parties as possible, which will be good for CA standards and good for the industry.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><b><i><span style="font-size:14.0pt;font-family:"Bradley Hand ITC";color:#0F243E">Kirk R. Hall<o:p></o:p></span></i></b></p>
<p class="MsoNormal">Operations Director, Trust Services<o:p></o:p></p>
<p class="MsoNormal">Trend Micro<o:p></o:p></p>
<p class="MsoNormal">+1.503.243.5405<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre>TREND MICRO EMAIL NOTICE
The information contained in this email and any attachments is confidential and may be subject to copyright or other intellectual property protection. If you are not the intended recipient, you are not authorized to use or disclose this information, and we request that you notify us by reply mail or telephone and delete the original message from your mail system.</pre></font></td></tr></table>