<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri, sans-serif" size="2">
<div>As suggested on the last call, I’ve handled a lot of the minor issues in this doc and grouped the remaining ones into meta-issues (five of them). I’ll send out emails periodically to have discussion on each. This is the second.</div>
<div> </div>
<div>The issues list and the doc itself can be found on the wiki at <a href="https://www.cabforum.org/wiki/89%20-%20Adopt%20Guidelines%20for%20the%20Processing%20of%20EV%20SSL%20Certificates%20v.2"><font color="#0000FF"><u>https://www.cabforum.org/wiki/89%20-%20Adopt%20Guidelines%20for%20the%20Processing%20of%20EV%20SSL%20Certificates%20v.2</u></font></a></div>
<div> </div>
<div>NOTE that I especially need input from browser vendors. This is your document. </div>
<div> </div>
<div>Meta-Issue #2</div>
<div> </div>
<div>The problem text is this:</div>
<div>"Certificates for which confirmation (read: revocation status) cannot be obtained...should not be treated as trusted certificates."</div>
<div> </div>
<div><font face="Calibri, sans-serif">Brian Smith points out that this mandates hard-fail. I agree, but think that might be appropriate for EV certs. I also realize that mandating hard-fail is a non-starter for many, but without this sentence, we're saying
that if you can't get revocation status for an EV cert, it's acceptable to drop it down to an ordinary trusted cert. I strongly disagree with that. EV should stand for something more than just slower vetting.</font></div>
<div> </div>
<div><font face="Calibri, sans-serif">Brian said “<font face="Calibri, sans-serif">Practically speaking, I think it would be bad for us to support standards/recommendations/guidelines that, if we implemented them, would result in us failing to load websites
more frequently than other browsers do and/or if it means we would not be able to be as fast as browsers that do not implement the standards/recommendations/guidelines.</font>” But if all browsers agree to do this, then none will be at a disadvantage compared
to the others. I think that browsers should be free to innovate and compete on features, but should be held to the same security standards.</font></div>
<div> </div>
<div><font face="Calibri, sans-serif">Brian also feels that the CAB Forum is the wrong place to come to agreement on this. He said “<font face="Calibri, sans-serif">it seems much better for us to use the well-established W3C and IETF IPR rules rather than spending
time on IPR rules for CABForum technical specifications.</font>” I strongly disagree – CAB Forum has the right participants in it, can move more quickly than standards bodies, and CAB Forum created EV in the first place. </font></div>
<div> </div>
<div><font face="Calibri, sans-serif">I welcome your comments.</font></div>
<div><font face="Calibri, sans-serif"> </font></div>
<div><font face="Calibri, sans-serif">-Rick</font></div>
<div> </div>
</font>
</body>
</html>