<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Arial","sans-serif";
        color:#002776;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle23
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks, Don.  I’m just thinking out loud here, but what if we were to start working toward a two-session model for ballots and effective dates?  Session 1 would be Feb1-May30 for ballots, and any effective date would be the following Oct. 1?  Or for items that take longer to implement or require more modifications to audit criteria, the effective date would be the following May 1st?  Session 2 for ballots would be Aug15th-Nov15th and any effective date would be the following May 1 (or the following Oct 1, for more complex changes)?  <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>We’d have recesses from Guideline-based ballots from Nov. 15 through January 30 and from June 1 through Aug 15<sup>th</sup>.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Then we’d work toward having CABF Guidelines locked down (or at least as stable as possible during those periods, in terms of potential changes and effective dates) so that there were periods during which requirements weren’t moving targets for CA implementation changes or audit criteria?  If this suggestion doesn’t work, either because it takes longer to implement and then audit or because sometimes no audit criteria need to be changed, which dates/cycles would be best from an audit criteria / CA practices perspective?   Or is a single yearly cycle, like every July 1<sup>st</sup>, a better approach for ETSI and WebTrust audit-criteria updating?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org] <b>On Behalf Of </b>Sheehy, Don (CA - Toronto)<br><b>Sent:</b> Friday, November 09, 2012 3:43 PM<br><b>To:</b> ben@digicert.com; public@cabforum.org<br><b>Subject:</b> Re: [cabfpub] Auditability of EV 1.4 and other CABF Guidelines<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'>This is my opinion only at this point – <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'>The only issue Ben is that WebTrust for CA is also used for CAs that do not issue EV certs , and others that are not public.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'>I don’t believe that we could ever get to one framework fits all – there would be too many “not applicables” but yet the seal would look the same – causing some confusion<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'>I see Baseline being incorporated at some point in the future – once all the kinks are worked out. We have talked about that in the face to face<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'>EV is definitely a separate service<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'>Security – we will be working that into WebTrust 2.1 – but that will just apply to public issuing certs – the same group that it is targeted to<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'>But I agree that the haste to create new versions needs to slow… before we have 1,0 audits in baseline we need to develop and issue 1.1<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'>Don <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><div><p class=MsoNormal style='mso-margin-top-alt:auto;margin-bottom:12.0pt'><b><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:navy'>Donald E. Sheehy, CA·CISA, CRISC, CIPP/C</span></b><span style='color:#002776'> <br></span><span style='font-size:7.5pt;font-family:"Verdana","sans-serif";color:navy'>Partner | Enterprise Risk </span><span style='color:#002776'><br></span><span style='font-size:7.5pt;font-family:"Verdana","sans-serif";color:navy'>Deloitte<o:p></o:p></span></p></div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#002776'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> <a href="mailto:[mailto:public-bounces@cabforum.org]">[mailto:public-bounces@cabforum.org]</a> <b>On Behalf Of </b>Ben Wilson<br><b>Sent:</b> Friday, November 09, 2012 11:51 AM<br><b>To:</b> <a href="mailto:public@cabforum.org">public@cabforum.org</a><br><b>Subject:</b> [cabfpub] Auditability of EV 1.4 and other CABF Guidelines<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>All,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>The removal of some of the identical provisions from the EV Guidelines (v.1.4) and replacing them with cross-references to the Baseline Requirements has added a degree of complexity to the maintenance of audit criteria for the EV Guidelines.  Presently, and in the future, I think we need to make a better effort to communicate and coordinate with ETSI and WebTrust about our documents so that we facilitate the synchronization of our requirements with their audit criteria.  You’ll note that our more recent ballots passing major revisions of guideline documents specified that we would work with ETSI and WebTrust to achieve this coordination / synchronization.  For example, the May 29, 2012 EV criteria that were referenced to baseline criteria (effective July 1, 2012) and further modified under version 1.1 (effective September 14, 2012) have created a moving target.  Now, when we make revisions to the Baseline Requirements, the EV Guidelines are also effectively changed.   We need to work on a formalized document release cycle that does not have effective dates all over the place, and which stays in pace with the ETSI and WebTrust criteria-adoption cycles.  It would be good to form a committee to work on this issue.  Specifically, a primary objective of the charter for such working group would be to ensure that the next full release of a CAB Forum document contemplates ahead of time the ETSI and WebTrust versions in which those criteria will appear and become auditable.  The work of such committee is essential for the development of an understandable and globally consistent set of audit criteria.  One thing for such committee to consider in working with ETSI and WebTrust is the extent to which our Baseline Requirements can serve as the “flagship” of an audit scheme.  I would envision a future where “WebTrust for CAs”  and the comparable ETSI audit serves as the primary framework (without having a special “Baseline Requirements” WebTrust seal, unless it says something along the lines of “WebTrust for CAs +BR +EV”).  Does that make sense?  In other words, we need to take our Baseline Requirements, EV Guidelines, and Security document, and see what the deltas are among WebTrust  and ETSI requirements, as well as the various root inclusion programs of Mozilla, Microsoft, Opera, etc.  Otherwise, we’re going to be causing ourselves nothing but heartache as we attempt to improve CA industry practices because we will have members (and those who are not members of the Forum) engaging in different practices (whether for competitive advantage or merely due to ignorance).<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Ben Wilson<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>CAB Forum Chair<o:p></o:p></span></p><div class=MsoNormal align=center style='text-align:center'><hr size=1 width="100%" align=center></div><p class=MsoNormal>Confidentiality Warning: This message and any attachments are intended only for the use of the intended recipient(s), are confidential, and may be privileged. If you are not the intended recipient, you are hereby notified that any review, retransmission, conversion to hard copy, copying, circulation or other use of this message and any attachments is strictly prohibited. If you are not the intended recipient, please notify the sender immediately by return e-mail, and delete this message and any attachments from your system. Thank you. <br>Information confidentielle: Le présent message, ainsi que tout fichier qui y est joint, est envoyé à l'intention exclusive de son ou de ses destinataires; il est de nature confidentielle et peut constituer une information privilégiée. Nous avertissons toute personne autre que le destinataire prévu que tout examen, réacheminement, impression, copie, distribution ou autre utilisation de ce message et de tout fichier qui y est joint est strictement interdit. Si vous n'êtes pas le destinataire prévu, veuillez en aviser immédiatement l'expéditeur par retour de courriel et supprimer ce message et tout document joint de votre système. Merci. <o:p></o:p></p></div></body></html>