<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple style='word-wrap: break-word;-webkit-nbsp-mode: space;-webkit-line-break: after-white-space'><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Steve,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I wish I had been in Paris at the start of this discussion (I wish I were in Paris right now… :^). The Powerpoint slide you sent me is rather complex and doesn’t really help me. But I think I see your point – that with technical constraints in place, an External SubCA can shoot themselves in the foot but not endanger anyone else. We’re limiting the damage. I only hope that if that happens, the press and public see it as very limited, and not just another example of a CA messing up.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>-Rick<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Steve Roylance [mailto:steve.roylance@globalsign.com] <br><b>Sent:</b> Sunday, April 07, 2013 6:41 AM<br><b>To:</b> Ryan Sleevi; Rick Andrews<br><b>Cc:</b> public@cabforum.org<br><b>Subject:</b> Re: [cabfpub] Name Constraints, Auditing and EKU<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal><b><span style='font-size:9.0pt;color:black'>Hi Ryan </span></b><span style='font-size:9.0pt;color:black'>thanks for stepping in.  You covered my responses plus some items I'd have missed.  For your information we use a combination of EKU and Name Constraints to arrive at a SubCA that's limited in scope from a domain name space perspective as well as key usage.   There will always be minor improvements and modifications in best practice as we move forward but for now the use of Name Constraints and EKU offers a great way to maintain/increase the overall adoption of certificate usage.  <i>(I've have to involve Ryan Hurst if we dive into any specific technical Name Constraint discussions on this thread.)</i><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><b><span style='font-size:9.0pt;color:black'>Hi Rick.</span></b><span style='font-size:9.0pt;color:black'> Just to be clear on our understanding of the BRs which dates back to June 2011 in Paris when the alternative models were discussed at length, we've always interpreted the wording of the BRs as allowing the technical constraints method.  Since that time we've proceeded forward on this basis and over the last 18 months+ we've been moving our historical customer base over to Name Constraints (albeit slower than we would have liked).  When requested, we've kept the browsers up to date on activities, posted blogs when we've discovered issues (Such as how XP handle constraints differently (<a href="http://unmitigatedrisk.com/?p=201">here</a>)) and where Name Constraints have been unworkable we've just had to either walk away from the opportunity or convert the customer to an alternative delivery platform.   What we've found with 'new' opportunities who have not been exposed to the 18+ months of discussions (i.e. following the evolvement of the BRs and the maturing of the Mozilla Policy) is that the Base Requirements as currently written do not make the audit situation clear. <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'><o:p> </o:p></span></p></div><div><blockquote style='margin-left:30.0pt;margin-right:0in'><div><p class=MsoNormal><b><i><span style='font-size:9.0pt;color:black'>17.5 Audit of Delegated Functions.</span></i></b><span style='font-size:9.0pt;color:black'><o:p></o:p></span></p></div><div><p class=MsoNormal><i><span style='font-size:9.0pt'>If a Delegated Third Party is <span style='color:red'>*not currently audited in accordance with Section 17*</span> and is not an Enterprise RA, then prior to certificate issuance the <span style='color:red'>*CA SHALL*</span> ensure that the domain control validation process required under Section 11.1 has been properly performed by the Delegated Third Party by either (1) using an out-of-band mechanism involving at least one human who is acting either on behalf of the CA or on behalf of the Delegated Third Party to confirm the authenticity of the certificate request or the information supporting the certificate request or (2) <span style='color:red'>*performing the domain control validation process itself*</span>.</span></i><span style='font-size:9.0pt'><o:p></o:p></span></p></div></blockquote><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'>Taking the items between the </span><span style='font-size:9.0pt;color:red'>*'s</span><span style='font-size:9.0pt'> then the Third Party doesn't need to be audited if the CA performs the domain control validation process prior to issuance.  With Name constraints that's done so no audit is needed.<o:p></o:p></span></p></div></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'>The hierarchical nature of chaining means that provisions are flowed down by either contract or technology between the various layers.   In some ways an Enterprise RA with simple username/password access to certificate issuance as a web service is far more vulnerable to attack/compromise and therefore mis issuance under a set of domains than a SubCA with a firewalled issuance infrastructure that is Name Constrained.  The latter will need to have invested in technology  and manpower where as the former may simply have agreed to terms on conditions on a web page.  All life cycles can be argued positively and negatively depending on your view point.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'>At the end of the day the BRs were created to raise the bar and they are doing that.  All I'm asking is that we make the language easier for new entrants to clearly understand their obligations.  The Audit language has been deemed unclear by many so I'm trying to improve the situation.  Maybe I've gone to far by incorporating the Mozilla language, however it's only a starting point.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'>Kind Regards<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'>Steve Roylance<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'>Business Development Director<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;color:black'><o:p> </o:p></span></p></div></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>On 06/04/2013 03:08, "Ryan Sleevi" <<a href="mailto:sleevi@google.com">sleevi@google.com</a>> wrote:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><blockquote style='border:none;border-left:solid #B5C4DF 4.5pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-right:0in' id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE"><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>On Fri, Apr 5, 2013 at 6:35 PM, Rick Andrews <<a href="mailto:Rick_Andrews@symantec.com">Rick_Andrews@symantec.com</a>> wrote:<o:p></o:p></span></p></div><blockquote style='border:none;border-left:solid #B5C4DF 4.5pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-right:0in' id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE"><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Steve,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>The last time we discussed this on the CABF call, I expressed concern about<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>the idea of technically-constrained certs not needing a third-party audit.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>We may be putting ourselves in a situation where we’ll have to answer some<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>tough questions:<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>-           If a CA is qualified to perform audits on its Delegated Third<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Parties, why can’t the CA audit itself? Why require a third party for the CA<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>but not its delegates? All certs chain to the same trusted roots, and have<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>the capability to do the same damage.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>-          What about the conflict of interest created by that business<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>arrangement? What’s to keep CAs from rubber stamping audits of delegates<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>because they stand to lose money if they don’t?<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>-          Does this create a moral hazard where the Delegate might<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>intentionally violate the BRs because they won’t bear much of the cost?<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>(their certificate(s) will get revoked, but the CA may have its roots<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>untrusted as a result).<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>-          The BRs are only as strong as their weakest link, and isn’t this<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>a weak link?<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>I’d feel better about this if we had good answers to these questions.<o:p></o:p></span></p></div></blockquote><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Hi Rick,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Hopefully I can provide some answers on Steve's behalf.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>I think the questions may be stemming from a misunderstanding of what<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>we're talking about here. If we were talking about unconstrained<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>subordinate certificates (or cross-signing), I would absolutely share<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>your concerns.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>However, we're not. We're talking about certificates that are<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>constrained to be limited in scope. This means that they are<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>fundamentally NOT the same as the CA certificates that require<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>auditing, as your first question suggests.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>It's important to realize that the constraints reduce the risk from<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>"The entire Internet" (the CA certificates for which root stores do<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>require third-party audits) to "A specific organization whose names<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>have been verified according to well-defined practices (eg: the BRs)".<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>As such, the risk of misissuance, deviation from the BRs, or other<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>failures - such as failures to include CDPs or AIA/OCSP - are entirely<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>limited in scope to the single domain or set of domains that have had<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>the constrained intermediate issued for.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Because this risk is so limited, the needs are vastly different. Quite<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>frankly, I'm not sure how strongly I feel about the audit requirements<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>in general - the technical constraint should be and likely is<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>sufficiently robust that the remaining elements are only affecting the<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>security of the site operator - not the web at large.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>To put it in perspective, the requirement for auditing the technically<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>constrained sub-CA is, in many ways, akin to requiring that the CA<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>inspect each server that will be installing a certificate and making<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>sure they're "secure" (for some definition of secure). While nice, and<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>perhaps may highlight areas of customer misconfiguration, it's<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>unnecessary to the overall security of the CA ecosystem.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>If a Delegate misbehaves, provided the CA properly issued technical<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>constraints, then their ability to do damage is limited to that scope.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Same as a wildcard cert, for example.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>All of this said, I'm still quite mixed about Steve's proposal for<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>incorporating this language into the BRs. It was drafted by and for<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Mozilla within a very specific context - of NSS using applications -<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>and the considerations, concerns, and security trade-offs may or may<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>not be broadly applicable for all applications and CAs. For example,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>nameConstraints only apply to the naming types specifically enumerated<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>- meaning such constrained intermediates may be valid for any name<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>types not enumerated (XMPP names, for example). For Mozilla/NSS, this<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>is perfectly acceptable, but is it for the CA ecosystem at large? I'm<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>sure Microsoft may be able to find other name types or key usages that<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>may be applicable to their root store, given the broader set of<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>applications beyond just browsers that use it.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Cheers,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Ryan<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><blockquote style='border:none;border-left:solid #B5C4DF 4.5pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-right:0in' id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE"><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>-Rick<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>] On<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Behalf Of Steve Roylance<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Sent: Wednesday, March 27, 2013 6:50 AM<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>To: <a href="mailto:public@cabforum.org">public@cabforum.org</a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Subject: [cabfpub] Name Constraints, Auditing and EKU<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Dear all,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>(Thanks Ben Wilson for helping me remove the minor mistakes in my initial<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>draft)<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Please see the attached (Word and PDF versions) as a suggested update to the<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>BRs to address the gaps we saw when viewing the guidelines with multiple<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>parties over the last couple of months.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>My 10,000 ft view (Which I hope is expressed clearly by the changes<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>proposed)<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>  All CAs are Audited or Technically constrained  (as Mozilla's Rev 2.1<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Policy now States so in reality it's applicable to everyone already)<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>There's no ability to opt out as BRs as they apply to all Roots and<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Subordinate CAs whether or not they are owned/run by the root authority or<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>another Subordinate Authority lower down the chain.  i.e. no gaps as it's<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>the weak points that will hurt the industry.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>The only exception in section 17 is that Technically constrained or not, the<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>quarterly self audits should be done as that checks compliance to the other<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>areas.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Note that I added the section on SubCA subject naming as although it could<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>be inferred from the issuer logic that section seemed to be more focused on<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Roots.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>I'm looking for a couple of volunteers to whip this into shape.  Any takers?<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Steve<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>_______________________________________________<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'>Public mailing list<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><a href="mailto:Public@cabforum.org">Public@cabforum.org</a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><a href="https://cabforum.org/mailman/listinfo/public">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div></blockquote><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas;color:black'><o:p> </o:p></span></p></div></blockquote></div></div></body></html>