<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">I would only point out this – we should not let the perfect be the enemy of the very, very, very good. 

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">The BRs and EV Guidelines represent a huge leap by the industry in raising standards – something I have not seen among other main players in the internet ecosystem (common,

 enforceable, auditable standards) that these players are willing to impose on themselves.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Many of the BRs and EVGLs are simply statements of good practices that we want to standardize and require – but for many of the BRs, there is no magic in a particular standard

 or deadline – rather, it’s a matter of judgment, taking steps to improve the ecosystem, and heading off a practice we see as a potential problem in the future.  (Have any 1024 bit certs been proven to be hacked yet?)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">In taking the major step of adopting BRs to improve the ecosystem,  it would be an error to ignore special transition cases where there is no particular showing that the

 transition case is too dangerous to allow.  There are customers with major legacy systems that can’t quickly be modified to deal with new requirements or prohibitions,

<u>and these customers were never consulted or informed about the BRs</u>.  They will typically discover the “problem” with their legacy system when they try to renew a cert with only 3 weeks left before expiration and are told they can’t get one.

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Few customers can completely modify major legacy systems with such short notice, and I don’t think the Forum should adopt an absolutist position in every case (again, especially

 when the requirements of the BRs, <u>adopted only last July 1</u>, have not yet been widely disseminated to general users – look at the surprise among customers on the prohibition against internal server name and IP address certs.)  We need to take a more

 practical approach, in my opinion, to get users to full compliance with legacy applications as quickly as possible.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Finally, Ryan, no one has ever suggested the Forum – or the BRs – will control any browser’s root program requirements.  However, the Forum (including both browsers and CAs)

 does control what’s in the BRs – including transition rules like we already have in BR 9.4.  In my view, the Forum could amend the BRs to include additional transition rules if needed for legacy systems (short-term, narrow, and auditable). 

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">If any browser objected to a BR transition rule for a legacy system, the browser could of course make it clear in its root program that it would not allow a CA to follow

 that particular BR transition rule – all browsers retain that right (but it’s not really in the spirit of the Forum or the BRs.).<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org]

<b>On Behalf Of </b>Ryan Sleevi<br>

<b>Sent:</b> Wednesday, March 06, 2013 2:56 PM<br>

<b>To:</b> Eddy Nigg (StartCom Ltd.)<br>

<b>Cc:</b> public@cabforum.org<br>

<b>Subject:</b> Re: [cabfpub] FW: [cabfquest] Key Size Exception<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">On Wed, Mar 6, 2013 at 2:48 PM, Eddy Nigg (StartCom Ltd.) <<a href="mailto:eddy_nigg@startcom.org" target="_blank">eddy_nigg@startcom.org</a>> wrote:<o:p></o:p></p>

<div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<p class="MsoNormal"><br>

On 03/07/2013 12:23 AM, From Ryan Sleevi: <o:p></o:p></p>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal">I think regardless of what this Forum decides, Browsers/Root Stores will continue to operate their programs independently. Granting exceptions through language in the BR certainly can provide a framework, but if no root store respects or

 accepts that framework, it serves no end. Likewise, this Forum may decide NOT to include particular language in the BRs, but Browsers/Root Stores that are committed to moving the security standard higher may decide to independently impose such restrictions,

 for the protection and safety of their users.<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</blockquote>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Right, but for the record here we are talking about "downgrading" or introducing an exception. Even if software vendors would agree to it, I believe such certificates would be not in compliance with the BR -

 until that has been changed and approved for such an exception.<br>

<br>

Therefor I believe the software vendors acceptance is also limited in this respect.<br>

<br>

<o:p></o:p></p>

<div>

<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0">

<tbody>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Regards <o:p></o:p></p>

</td>

</tr>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Signer: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Eddy Nigg, COO/CTO<o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://www.startcom.org" target="_blank">StartCom Ltd.</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">XMPP: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="mailto:startcom@startcom.org">startcom@startcom.org</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Blog: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://blog.startcom.org" target="_blank">Join the Revolution!</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Twitter: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://twitter.com/eddy_nigg" target="_blank">Follow Me</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

</tr>

</tbody>

</table>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">Correct - without changes to the BRs, such certs are definitely not compliant with the BRs.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Whether or not a root store accepts them (compliant or not) is a separate and independent question, that gets to the heart of the matter.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Watering down the BRs to make such certs 'acceptable' (by virtue of exceptions) only serves to weaken the BRs, and such weakening may or may not be acceptable to root programs.<o:p></o:p></p>

</div>

</div>

</body>

</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre><table class="TM_EMAIL_NOTICE"><tr><td><pre>

TREND MICRO EMAIL NOTICE

The information contained in this email and any attachments is confidential 

and may be subject to copyright or other intellectual property protection. 

If you are not the intended recipient, you are not authorized to use or 

disclose this information, and we request that you notify us by reply mail or

telephone and delete the original message from your mail system.

</pre></td></tr></table></pre></font></td></tr></table>