<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); "><div><div><div style="font-family: Arial, sans-serif; font-size: 12px; ">Dear all.</div><div style="font-family: Arial, sans-serif; font-size: 12px; "><br></div><div style="font-family: Arial, sans-serif; font-size: 12px; ">It seems that many people were confused about the Intent of Ballot 92.   </div><div style="font-family: Arial, sans-serif; font-size: 12px; "><br></div><div style="font-family: Arial, sans-serif; font-size: 12px; ">Even though Jeremy illustrated some examples during the discussions (thanks!) and even though the ballot itself features examples, I felt that it would be beneficial to all parties to come to an agreement on the scope of the problem and therefore to provide an illustration of the alternative mix of domains/IPs/Shortnames that we are trying to encompass.</div><div style="font-family: Arial, sans-serif; font-size: 12px; "><br></div><div style="font-family: Arial, sans-serif; font-size: 12px; ">Please see the attached XLS (and PDF version).</div><div style="font-family: Arial, sans-serif; font-size: 12px; "><br></div><div style="font-family: Arial, sans-serif; font-size: 12px; ">I've illustrated several different combinations of public/non public domains.  In order to allow everyone to visualise (in their favourite certificate viewer) just how things stand I've also provided certificates, PKCS12's keys and requests.  These are in the ZIP file and are labelled as per the XLS sheet so you should be able to quickly and easily identify a specific combination of components you may be concerned about and obtain an example.  i.e. DV 1-13, OV 1-10 and Controversial 1-4.</div><div style="font-family: Arial, sans-serif; font-size: 12px; "><br></div><div style="font-family: Arial, sans-serif; font-size: 12px; ">I've also provided a few screen shots in a 2nd PDF to highlight how the Windows Certificate Viewer makes a 'best attempt' to display information to relying parties.  i.e. When there is no CN it reverts to the next OU.    My intention here is not to ballot how the browsers show certificates but to indicate that both the browsers and CAs need to work together to improve the situation for relying parties and I'm happy to try to move the CAs forward first.  After all, it's the CAs who attest to the combination of the various component parts of the certificate by signing it, so Browsers will never be able to move forward whilst CAs don't have a solid baseline of when and when not to include additional Subject DN Information.</div><div style="font-family: Arial, sans-serif; font-size: 12px; "><br></div><div style="font-family: Arial, sans-serif; font-size: 12px; ">The majority of the feedback I received last week seems to highlight that mixed 'DV' domains are contentious hence the 1-4 in the sheet.  Some think that it's fine to allow multiple owners to be bundled in to a single certificate.  I do not think this is acceptable.   I'm sure that some of the supporters of this motion will be able to add additional weight to the argument in terms of private key control, however as I have always stated, my focus is on what replying parties are able to see today and CAs can certainly improve this.</div><div style="font-family: Arial, sans-serif; font-size: 12px; "><br></div><div><div><div style="color: rgb(0, 0, 0); font-size: 12px; ">Kind Regards</div><div style="color: rgb(0, 0, 0); font-size: 12px; "><br></div><div style="color: rgb(0, 0, 0); font-size: 12px; ">Steve</div><div style="color: rgb(0, 0, 0); font-size: 12px; "><br></div><div style="color: rgb(0, 0, 0); font-size: 12px; ">P.S. If you want a particular combination of components adding them please let me know.  Additional SAN entries beyond 2 only complicate things further and are effectively subsets of the examples created.  I didn't have the chance to make CRLs etc so some browsers balk – We can address this over the coming days/weeks prior to a resubmission of the ballot.</div><div><font class="Apple-style-span"><font class="Apple-style-span"><p class="MsoNormal" style="color: rgb(0, 0, 0); font-size: 14px; margin-top: 0cm; margin-right: 0cm; margin-bottom: 0.0001pt; margin-left: 0cm; font-family: Calibri, sans-serif; line-height: 17px; "><span style="line-height: 5px; font-family: Arial; "><o:p><font class="Apple-style-span" size="3"><span class="Apple-style-span" style="font-size: 12px; "> </span></font></o:p></span></p><p class="MsoNormal" style="color: rgb(0, 0, 0); margin-top: 0cm; margin-right: 0cm; margin-bottom: 0.0001pt; margin-left: 0cm; line-height: 17px; "><br></p></font></font><p style="font-family: Arial, sans-serif; font-size: 12px; "></p><font class="Apple-style-span" style="font-family: Arial, sans-serif; font-size: 12px; color: rgb(0, 0, 0); "><font class="Apple-style-span"><p style="font-family: Arial, sans-serif; color: rgb(0, 0, 0); font-size: 14px; "></p></font></font></div></div></div></div></div></body></html>