<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.5pt;
        font-family:Consolas;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        color:black;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";
        color:black;}
span.EmailStyle25
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle26
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle27
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle28
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle29
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle30
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I agree with Kirk.  Notaries Public in the U.S. are paid for checking identity and witnessing signatures, nothing more.  I've already had several cases where a customer, trying to complete the Face to Face verification process before a Notary Public pushed back because they said that the Notary would not verify/stamp the copies of the financial and other documents as required by the current wording in the Guidelines.  IMO, appearing before a Notary Public is perfectly acceptable for verification of an individual's identity, but trying to push any other job onto the Notary is problematic, and not what they are trained and paid to do.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>-Rich<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org] <b>On Behalf Of </b>Steve Roylance<br><b>Sent:</b> Friday, June 28, 2013 5:33 AM<br><b>To:</b> jeremy.rowley@digicert.com; kirk_hall@trendmicro.com<br><b>Cc:</b> public@cabforum.org<br><b>Subject:</b> Re: [cabfpub] Phone verification issues<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'>Hi Everyone.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'>Just to note that in many European Countries the situation is totally reversed in that Notaries are required to perform due diligence and do check specific facts if requested.  Whilst the UK is Common Law (like the US) and unlike most Civil Law European countries (<a href="http://en.wikipedia.org/wiki/File:LegalSystemsOfTheWorldMap.png">http://en.wikipedia.org/wiki/File:LegalSystemsOfTheWorldMap.png</a>)  the notaries here do check everything they are asked to check and are not merely a third party witness of an event so we need to be careful on amendments that are not globally consistent.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p></div><div><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:black'>Kind Regards<o:p></o:p></span></p><p style='margin:0in;margin-bottom:.0001pt;min-height: 14px'><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:black'> <o:p></o:p></span></p><p style='margin:0in;margin-bottom:.0001pt'><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:black'>Steve Roylance<o:p></o:p></span></p><p style='margin:0in;margin-bottom:.0001pt'><b><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:black'>Business Development Director</span></b><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:black'><o:p></o:p></span></p><p style='margin:0in;margin-bottom:.0001pt;min-height: 14px'><span style='font-size:9.0pt;font-family:"Arial","sans-serif";color:black'><o:p> </o:p></span></p></div></div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>From: </span></b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif"'>"<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>" <<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>><br><b>Date: </b>Thursday, 27 June 2013 22:26<br><b>To: </b>Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com">jeremy.rowley@digicert.com</a>>, "<a href="mailto:public@cabforum.org">public@cabforum.org</a>" <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br><b>Subject: </b>Re: [cabfpub] Phone verification issues<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p></div><div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>Jeremy, the only problem with using notaries is – they just verify the Mr. or Ms. X (who works for the customer) *<b>signed</b>* a document or affidavit.  They do not vouch for the accuracy of any statements in the document, and they will not be verifying the phone number (VOIP, mobile phone, etc.) of the customer or the person signing the document.</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>So using a notary won’t really verify the customer’s phone number – only the Mr. or Ms. X signed something attesting to the phone number.  Mr. or Ms. X could also attest to the company’s state of incorporation, domains, etc. and have the document notarized – but that wouldn’t really establish any of those facts either.</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>The idea of an attorney/accountant letter was that those professionals were, in fact, themselves attesting to the facts (like local registration authorities) based on their own investigation and knowledge of facts, which is way stronger than a notarization of the customer’s own statements.</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'> </span><o:p></o:p></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>] <b>On Behalf Of </b>Jeremy Rowley<br><b>Sent:</b> Thursday, June 27, 2013 2:13 PM<br><b>To:</b> <a href="mailto:public@cabforum.org">public@cabforum.org</a><br><b>Subject:</b> Re: [cabfpub] Phone verification issues</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>We could also consider start allowing notaries.  When the EV guidelines were originally created, verification of notaries was extremely difficult.  However, almost every state now has a public repository of notaries along with contact information.  Because notary verification reliability has significantly increased over the last couple of years, we should consider expanding Verified Letter verification of phone numbers to include notarized letters based on original documentation. </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>] <b>On Behalf Of </b>Jeremy Rowley<br><b>Sent:</b> Thursday, June 27, 2013 3:00 PM<br><b>To:</b> <a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>; <a href="mailto:richard.smith@comodo.com">richard.smith@comodo.com</a>; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br><b>Subject:</b> Re: [cabfpub] Phone verification issues</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I agree that this should be the process and would love to see a change in the EV Guidelines that reflects this.</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'><a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>] <b>On Behalf Of </b><a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a><br><b>Sent:</b> Thursday, June 27, 2013 2:36 PM<br><b>To:</b> <a href="mailto:richard.smith@comodo.com">richard.smith@comodo.com</a>; <a href="mailto:public@cabforum.org">public@cabforum.org</a><br><b>Subject:</b> Re: [cabfpub] Phone verification issues</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>To state the obvious, it seems the process should be:</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>1.  If the organization’s phone number can be found in a QIIS, QGIS, etc., that is sufficient (but use that number to confirm other EV requirements).</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>2. If no number can be found… extra due diligence, including seeing if an alternate number (the mobile number, VOIP, etc.) is posted on the customer’s website, confirming the customer can be reached at the number, asking for a copy of phone bills (which could be faked), and – confirming there is a bank account in the customer’s name (using something stronger than just a copy of a bank statement, which can be faked).</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>One of the main reasons why the EVGL required telephone confirmation was to increase “findability” of the customer in the event of problems or fraud – we wanted to avoid dealing with an EV customer with a shell corporation and a throw away mobile phone.  So if one confirmed contact point goes away (telephone number in public data base), maybe we must substitute another strong contact point, such as bank account which can be opened by a bank only after complying with Know Your Customer rules (which today we only require for companies less than 3 years old, etc.).</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>BTW – I never thought an accountant would be willing to sign an attestation letter re corporate existence, officer, phone number, etc. – just not a part of providing accounting services, at least in the US.</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'><a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>] <b>On Behalf Of </b>Rich Smith<br><b>Sent:</b> Thursday, June 27, 2013 1:20 PM<br><b>To:</b> <a href="mailto:public@cabforum.org">public@cabforum.org</a><br><b>Subject:</b> [cabfpub] Phone verification issues</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>**Disclaimer: This thread originated on the questions listserv.  Regarding that particular thread, it will be handled by the CA in question.  All identification of the CA and the original sender have been scrubbed from this thread, as I don't know what the policy is regarding making queries to the questions list public.**</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I agree that this particular case should be left for the particular CA to handle, however it brings up a problem that I encounter on a routine basis and one which I believe we need to address.  It is going to become increasingly difficult to verify phone numbers.  In the developing world it is well understood that they are largely skipping over land lines in favor of mobile phones, VoIP, etc., and even in the developed world mobile phones and VoIP have over-taken land lines in numbers and will very likely continue to do so.  With the adoption of the BRs we have added an out of band verification requirement to OV, which generally means a verification of a phone number for OV as well, though it is not a strict requirement as it is for EV since other out of band methods are still allowed (just not particularly timely or useful IMO).</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>For a snap shot of the mobile vs. land line numbers, I have combined two lists from:</span><o:p></o:p></p><p class=MsoNormal><a href="http://en.wikipedia.org/wiki/List_of_countries_by_number_of_mobile_phones_in_use">http://en.wikipedia.org/wiki/List_of_countries_by_number_of_mobile_phones_in_use</a><o:p></o:p></p><p class=MsoNormal><a href="http://en.wikipedia.org/wiki/List_of_countries_by_number_of_telephone_lines_in_use">http://en.wikipedia.org/wiki/List_of_countries_by_number_of_telephone_lines_in_use</a><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>into the attached spreadsheet (in Excel and Open Document formats)</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I don't know exactly what the solution is, but I think we should get a conversation started.</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Regards,</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Rich</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'><a href="mailto:questions-bounces@cabforum.org">questions-bounces@cabforum.org</a> [<a href="mailto:questions-bounces@cabforum.org">mailto:questions-bounces@cabforum.org</a>] <b>On Behalf Of </b>Eddy Nigg (StartCom Ltd.)<br><b>Sent:</b> Thursday, June 27, 2013 2:35 PM<br><b>To:</b> <a href="mailto:questions@cabforum.org">questions@cabforum.org</a><br><b>Subject:</b> Re: [cabfquest] EV SLL Verification suggestion</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><br>On 06/27/2013 09:22 PM, From <span style='color:#1F497D'>*<b>name redacted</b>*</span>: <o:p></o:p></p><p class=MsoPlainText><span style='color:black'>Below is a problem we ran into and because of which we have a suggestion for change in the EV SSL verification rules. If this is not the proper channel for this type of suggestion please let me know how or where we could make this suggestion,<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>Thank You!<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>THE PROBLEM<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>We have had an EV SLL Cert issued by *redacted* for the last two years.<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>We are a small startup business that was using our home phone as a business line.  We had the phone forwarded to our cell phone. We found that with our cell phones we never used the home phone, and it was a monthly bill that we could eliminate, so we did. We changed the business number to a Google Voice number that was forwarded (like our home phone) to our cell phone. This provided us with the best solution so that our customers could usually always reach us.<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>Little did we know this would send us down a road that would eventually end up costing us our EV SLL certificate, and we had to revert to a standard SSL.<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>The problem was with the verification rules for the new phone number.  *redacted* was unable to find our small startup business in the directory, and we were unable to provide a bill that showed our new phone number, name of business, and address because Google Voice is a free service and no such bill is provided. <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>We were asked to provide a Professional Opinion Letter from a CPA or Lawyer - and even though our small business does not employ either, we went to a CPA office and one after another CPA looked at the letter from *redacted* and said they had never seen anything like it and were not about to sign it.  We talked to a total of 3 CPA's. We did not try a lawyer because the cost would have been prohibitive. <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>SUGGESTIONS FOR SOLUTION<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>First, to verify a phone number, one should be able to call that phone # and see who answers.  This is used by banks and financial institutions, why not for an EV SLL Certificate?<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'>The "Professional Opinion Letter" is a complicated solution that costs $$$ for the end users -- I understand and appreciate the need for verification, but this should only be required in the most dire and last resort situations -- I would think if this letter was required then serious thought should be given as to whether the certificate should be issued at all. It certainly should not be required because a phone number changes.<o:p></o:p></span></p><p class=MsoPlainText><span style='color:black'> <o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><br>I think we let <span style='color:#1F497D'>*<b>the CA</b>*</span> deal with this.<o:p></o:p></p><div><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0><tr><td colspan=2 style='padding:0in 0in 0in 0in'><p class=MsoNormal>Regards <o:p></o:p></p></td></tr><tr><td colspan=2 style='padding:0in 0in 0in 0in'><p class=MsoNormal> <o:p></o:p></p></td></tr><tr><td style='padding:0in 0in 0in 0in'><p class=MsoNormal>Signer: <o:p></o:p></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal>Eddy Nigg, COO/CTO<o:p></o:p></p></td></tr><tr><td style='padding:0in 0in 0in 0in'><p class=MsoNormal> <o:p></o:p></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal><a href="http://www.startcom.org">StartCom Ltd.</a><o:p></o:p></p></td></tr><tr><td style='padding:0in 0in 0in 0in'><p class=MsoNormal>XMPP: <o:p></o:p></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal><a href="xmpp:startcom@startcom.org">startcom@startcom.org</a><o:p></o:p></p></td></tr><tr><td style='padding:0in 0in 0in 0in'><p class=MsoNormal>Blog: <o:p></o:p></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal><a href="http://blog.startcom.org">Join the Revolution!</a><o:p></o:p></p></td></tr><tr><td style='padding:0in 0in 0in 0in'><p class=MsoNormal>Twitter: <o:p></o:p></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal><a href="http://twitter.com/eddy_nigg">Follow Me</a><o:p></o:p></p></td></tr><tr><td colspan=2 style='padding:0in 0in 0in 0in'><p class=MsoNormal> <o:p></o:p></p></td></tr></table></div><p class=MsoNormal> <o:p></o:p></p></div><table class=MsoNormalTable border=0 cellpadding=0><tr><td style='background:white;padding:.75pt .75pt .75pt .75pt'><table class=MsoNormalTable border=0 cellpadding=0><tr><td style='padding:.75pt .75pt .75pt .75pt'><pre> <o:p></o:p></pre><pre>TREND MICRO EMAIL NOTICE<o:p></o:p></pre><pre>The information contained in this email and any attachments is confidential <o:p></o:p></pre><pre>and may be subject to copyright or other intellectual property protection. <o:p></o:p></pre><pre>If you are not the intended recipient, you are not authorized to use or <o:p></o:p></pre><pre>disclose this information, and we request that you notify us by reply mail or<o:p></o:p></pre><pre>telephone and delete the original message from your mail system.<o:p></o:p></pre></td></tr></table></td></tr></table><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p></div></div><table class=MsoNormalTable border=0 cellpadding=0><tr><td style='background:white;padding:.75pt .75pt .75pt .75pt'><table class=MsoNormalTable border=0 cellpadding=0><tr><td style='padding:.75pt .75pt .75pt .75pt'><pre>TREND MICRO EMAIL NOTICE<o:p></o:p></pre><pre>The information contained in this email and any attachments is confidential <o:p></o:p></pre><pre>and may be subject to copyright or other intellectual property protection. <o:p></o:p></pre><pre>If you are not the intended recipient, you are not authorized to use or <o:p></o:p></pre><pre>disclose this information, and we request that you notify us by reply mail or<o:p></o:p></pre><pre>telephone and delete the original message from your mail system.<o:p></o:p></pre></td></tr></table></td></tr></table><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Arial","sans-serif"'>_______________________________________________ Public mailing list <a href="mailto:Public@cabforum.org">Public@cabforum.org</a> <a href="https://cabforum.org/mailman/listinfo/public">https://cabforum.org/mailman/listinfo/public</a> <o:p></o:p></span></p></div></div></body></html>