
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jan 22, 2014 at 12:47 PM, Rob Stradling <span dir="ltr"><<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 22/01/14 17:52, Ryan Sleevi wrote:<br>

<snip><div class="im"><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

To be clear, I definitely believe that the wording of 11.1.1 is<br>

specifically to *exempt* it from 11.3 - that is, 11.3 applies to all the<br>

other information (eg: country, organization name, other verified<br>

subject information), but MUST NOT apply to the domain, which MUST be<br>

checked at time of issuance. A "Domain Authorization Document" provides<br>

a means - independent of 11.3 - to 'cache' that.<br>

</blockquote>

<br></div>

Ryan,<br>

<br>

If 11.3 doesn't apply to 11.1.1 _at all_, then a CA could rely on a Domain Authorization Document _forever_, as long as it was "(ii) used by the CA to verify a previously issued certificate and that the Domain Name's WHOIS record has not been modified since the previous certificate's issuance."<br>


<br>

Surely the intent was that 11.3 should cap the length of time that a CA may rely on a Domain Authorization Document to a maximum of 39 months?<br></blockquote><div><br></div><div>Why? If WHOIS hasn't changed, there's no (public) indicator that the authorization is no longer valid.</div>

<div><br></div><div>As long as, for every certificate being issued, the CA is checking the WHOIS to ensure no changes since the Domain Authorization Document was received, I'm not sure I'd see the problem.</div><div>

<br></div><div>I'd still expect the certs themselves to be constrained (to the 60 or 39 month period, depending on BRs or EVGs), but as long as the WHOIS data has not changed (which would include Updated Date, Creation Data, and Expiration Date), I don't see why there would be an issue relying on the document.</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

I think the intent of 11.3 was to impose a restriction rather than to grant permission.  Therefore, it would've made a lot more sense for it to say "The CA MUST NOT <list of restrictions>" rather than "The CA MAY...".<span class="HOEnZb"><font color="#888888"><br>


<br>

-- <br>

Rob Stradling<br>

Senior Research & Development Scientist<br>

COMODO - Creating Trust Online<br>

</font></span></blockquote></div><br></div></div>