<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

span.EmailStyle22

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Ryan, I think you are putting up a straw man argument when you imply that CAs could cheat on all the BR rules by pretending they are simply reissuing a pre-BR

 cert, so they don’t have to comply with anything.  To my knowledge, no one has done that or proposed that.  The only controversy here is validity period for the reissued pre-BR 10 year certs (which to our minds are in fact BR complaint, by their terms). 

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I believe that many CAs have always allowed a free reissue of an outstanding cert in their subscriber agreements (for the remaining certificate validity period

 only – not for any extended period) if necessary due to a technical problem such as loss of private key.  So the reissued (re-keyed) cert for the remaining validity period presents no greater danger to the internet community than the previously issued, pre-BR

 10 year cert.  Does it?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I can’t fully understand why some are acting as if there is a grave danger from reissue/rekeying for the remaining validity period – if pre-BR 10 year certs

 (which are expiring by their own terms) are so dangerous, why wouldn’t you demand they all be revoked right now?  (Or that they all be revoked when they reach 60 months?) 

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">This feels to us like a “gotcha” moment, when people are seizing on what, to us, is an overly-technical interpretation of what “issue” means in order to say

 to CAs and their customers “too bad you have a technical need for reissue of a pre-BR 10 year cert for the remaining 6 years of validity period (or whatever) – you can’t do it.  But you can continue to use the other 10 year pre-BR cert you have until it expires.” 

 Why is this useful or necessary?  It’s certainly disruptive.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">At the end of the day, I guess the browsers can impose whatever interpretation they want, but from a CA viewpoint, we don’t agree with this interpretation.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Ryan Sleevi [mailto:sleevi@google.com]

<br>

<b>Sent:</b> Wednesday, August 07, 2013 2:29 PM<br>

<b>To:</b> Kirk Hall (RD-US)<br>

<b>Cc:</b> public@cabforum.org >> public@cabforum.org<br>

<b>Subject:</b> Re: [cabfpub] Concerns regarding Mozilla Root Program/Baseline Requirements<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Tue, Aug 6, 2013 at 10:50 PM, <a href="mailto:kirk_hall@trendmicro.com">

kirk_hall@trendmicro.com</a> <<a href="mailto:kirk_hall@trendmicro.com" target="_blank">kirk_hall@trendmicro.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Just because you (and others) may have had an *<b>undisclosed</b>* expectation about something, and

 I (and others) had an opposite *<b>undisclosed</b>* expectation about the same thing relating to initial adoption of the BRs doesn’t make any of us liars.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">In the future, if anyone thinks some new CA/Browser Forum requirement is meant to be retroactive

 (i.e., will apply to certificates already issued or to agreements made before the effective date of the new requirement) – please speak up, as that’s a big expectation to have, and many may oppose it.</span><o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I think we need to be clear on this:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I can certainly understand and appreciate that when the BRs were adopted, there was NOT an assumption that all pre-BR certs would have to be revoked. There was no giant flag day.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">However, there has unquestionably been the expectation - from the root stores, from the audit guidelines, and from the BRs itself - that all certificates issued from the effective date must comply. This is, after all, why the effective

 dates are so typically set further in the future - to give CAs time to adequately prepare to implement the required measures.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">The fundamental disagreement seems to be about which has higher priority: existing agreements or the audit compliance. If a CA has an existing agreement that says "We (the CA) agree not to conform to the BRs for Customer Foo", then you

 cannot simultaneously argue that the CA is in compliance with either the letter or the spirit of the BRs or of the root program requirements.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">If this was an acceptable interpretation, it seems like it incentivizes every CA to put into their contracts language that runs counter to the BRs, as it provides a "get out of jail free" card for any non-compliant certificates. This would,

 in effect, make the BRs meaningless - a symbolic hollow gesture.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">If we want to talk about undisclosed expectations, I would simply highlight that the BRs, unlike the EV guidelines, say nothing about re-key beyond 15.2.2.a. Absent any clarifications, and given the prevalence of terms like "issuance",

 which itself has a defined meaning, it seems unreasonable to think that rekey was or is exempt from this. If "rekey" was not an instance of "issuance", then surely it would mean that no CA was obligated to keep audit logs for any certificates they "rekeyed"

 - or if any (other) attributes were changed on the certificate. Naturally, I hope you can see why this interpretation is so fundamentally alarming, even if the current example certificates are less troubling.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I can say that the only explicit requirement included in the initial BRs about maximum validity period

 for certs is BR 9.4 – and by its terms, it clearly does not apply to certs issued or agreements made before the effective date of the BRs.</span><o:p></o:p></p>

</div>

</div>

</blockquote>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I would hardly agree this point is clear, as stated above and previously. After all, this thread would hardly be as active it if was so clear and unambiguous.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Further, in your reply, you've now added an extra clause "or agreements", which itself is not present in the BRs. This indicates another fundamental disagreement here, and I hope to understand how you've reached this conclusion, so that

 we can make sure that the BRs (and the CA/B Forum Membership) are clear and in agreement on this.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I can also say that in the future, Trend Micro is likely to oppose any new requirements that are

 explicitly intended to be retroactive and would require a CA to revoke outstanding certs and/or breach existing agreements with customers, unless there is an extraordinary, proven, and immediate security threat – and the issue currently under current discussion

 doesn’t meet that test.</span><o:p></o:p></p>

</div>

</div>

</blockquote>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I would think that any CA that is not considering and incorporating, as part of their agreements, the implications that the Baseline Requirements will have on current and future certificate issuances may be acting in bad faith with respect

 to making forward progress here.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Suggesting that no improvements can be made that disrupt the status quo would be truly unfortunate.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">

<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>]

<b>On Behalf Of </b>Eddy Nigg (StartCom Ltd.)<br>

<b>Sent:</b> Tuesday, August 06, 2013 2:51 PM<br>

<b>To:</b> <a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a> >>

<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a></span><o:p></o:p></p>

<div>

<p class="MsoNormal"><br>

<b>Subject:</b> Re: [cabfpub] Concerns regarding Mozilla Root Program/Baseline Requirements<o:p></o:p></p>

</div>

</div>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On 08/07/2013 12:43 AM, From <a href="mailto:kirk_hall@trendmicro.com:" target="_blank">

kirk_hall@trendmicro.com:</a> <o:p></o:p></p>

</div>

</div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Ryan and Eddy – if it was anyone’s intention to put CAs in the position of breach of contract with their existing

 customers for long-term certificates they had issued pre-BR (by effectively prohibiting them under the BRs from reissuing an existing long term cert for the balance of the cert validity period, as the CAs had agreed to do with their customers by contract),

 that was never made clear by anyone.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><br>

Well, as I mentioned earlier, if you are in this situation then fire your lawyers and whoever is responsible for setting up the policies and agreements. But there are other possible solutions to make a customer happy and still stay in compliance with the BR,

 I don't have to mention those here.<br>

<br>

<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">If it had been made clear, I doubt many CAs would have supported that position.  We don’t think that’s a common-sense

 interpretation of the current BRs.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><br>

In my opinion it's the only logical interpretation and not only that, but we've discussed this extensively and the current BR was created by consensus being fully aware of the implications. Claiming otherwise would be a lie.<o:p></o:p></p>

<div>

<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0">

<tbody>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Regards <o:p></o:p></p>

</td>

</tr>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Signer: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Eddy Nigg, COO/CTO<o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="http://www.startcom.org" target="_blank">StartCom Ltd.</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">XMPP: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="mailto:startcom@startcom.org">startcom@startcom.org</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Blog: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="http://blog.startcom.org" target="_blank">Join the Revolution!</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Twitter: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="http://twitter.com/eddy_nigg" target="_blank">Follow Me</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</td>

</tr>

</tbody>

</table>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

</div>

</div>

</div>

<table class="MsoNormalTable" border="0" cellpadding="0">

<tbody>

<tr>

<td style="background:white;padding:.75pt .75pt .75pt .75pt">

<table class="MsoNormalTable" border="0" cellpadding="0">

<tbody>

<tr>

<td style="padding:.75pt .75pt .75pt .75pt">

<pre>TREND MICRO EMAIL NOTICE<o:p></o:p></pre>

<pre>The information contained in this email and any attachments is confidential <o:p></o:p></pre>

<pre>and may be subject to copyright or other intellectual property protection. <o:p></o:p></pre>

<pre>If you are not the intended recipient, you are not authorized to use or <o:p></o:p></pre>

<pre>disclose this information, and we request that you notify us by reply mail or<o:p></o:p></pre>

<pre>telephone and delete the original message from your mail system.<o:p></o:p></pre>

</td>

</tr>

</tbody>

</table>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</body>

</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre><table class="TM_EMAIL_NOTICE"><tr><td><pre>

TREND MICRO EMAIL NOTICE

The information contained in this email and any attachments is confidential 

and may be subject to copyright or other intellectual property protection. 

If you are not the intended recipient, you are not authorized to use or 

disclose this information, and we request that you notify us by reply mail or

telephone and delete the original message from your mail system.

</pre></td></tr></table></pre></font></td></tr></table>