<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";

        color:black;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";

        color:black;}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;

        color:black;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext">Brian, you raise a good point, and Jeremy has done a good job of explaining the dilemma faced by CAs today in preparing for a January 1 deadline for CT implementation.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext">I only proposed the ballot so CAs would not (automatically) be violating the existing Baseline Requirements when implementing RFC 6962 and the Google CT

 plan and fail our next WebTrust / ETSI audit.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext">To deal with the need to define pre-certificates, we could change the sentence to read as follows:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext"><o:p> </o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext">“In order to comply with the requirements of Certificate Transparency, CAs may use precertificates

<b><i><u>as defined in RFC 6962</u></i></b> and certificates that contain the same serial number and are issued from the same Subordinate CA Certificate.”</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext"> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org]

<b>On Behalf Of </b>Jeremy.Rowley<br>

<b>Sent:</b> Thursday, September 18, 2014 12:15 PM<br>

<b>To:</b> public@cabforum.org<br>

<b>Subject:</b> Re: [cabfpub] Ballot for limited exemption to RFC 5280 for CT implementation<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-bottom:12.0pt">CT is required for EV in January, and most CAs are trying to get ready before the deadline.  Waiting for the Trans group isn't really an option anymore, especially if there is delay between any document adopted

 by Trans and the implementation date by Google. I also don't think we need to time-box on the language since (a) we don't have a timeline from Trans on when a standard will be adopted and (b) we don't have a timeline from Google on when any ideas from Trans

 will be adopted.   <br>

<br>

That said, we might want to clarify that the language about what constitutes a "pre-certificate".  Your definition seems reasonable.<br>

<br>

Jeremy<br>

<br>

<o:p></o:p></p>

<div>

<p class="MsoNormal">On 9/17/2014 9:55 PM, Brian Smith wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<div>

<p class="MsoNormal">On Wed, Sep 17, 2014 at 7:01 PM, <a href="mailto:kirk_hall@trendmicro.com" target="_blank">

kirk_hall@trendmicro.com</a> <<a href="mailto:kirk_hall@trendmicro.com" target="_blank">kirk_hall@trendmicro.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">1. Amend the Definitions as follows:<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

Valid Certificate:<b> </b>A Certificate that passes the validation procedure specified in RFC 5280

<b><i><u>(except for the limited exemption provided in Appendix B).</u></i></b><o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">This seems like a bad and unnecessary idea to me. The trans working group is already debating discussing the format of precertificates so that they are not syntactically-valid certificates for the standards-track CT mechanism. The version

 of CT Google and the CAs have implemented is an experiment, not a standard or proposed standard. The CAs can work around this issue by using the OCSP-based CT mechanism instead of the precertificate mechanism. Finally, IIUC, the only negative consequence of

 this that EV certificates <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">IMO, it makes more sense to change the experiment than it does to (effectively) change the fundamental standards that all CABForum work is based on.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Note that the use or non-use of a precertificate signing certificate has no bearing (IIUC) on whether the precertificate would be a duplicate of the final certificate, because the difference between Option 1 and Option 2 doesn't affect

 the issuer and serial number fields of the precertificate.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> 2. Amend Appendix B as follows:<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in;text-autospace:none">

Appendix B – Certificate Extensions (Normative<i>)<u>;<b> Limited Exemption from Compliance with RFC 5280</b></u></i><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in;text-autospace:none">

<b> </b><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in;text-autospace:none">

This appendix specifies the requirements for Certificate extensions for Certificates generated after the Effective Date. ***<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in;text-autospace:none">

 <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<b><u>(<i>5) Limited Exemption from Compliance with RFC 5280</i></u></b><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<b><i> </i></b><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<b><i><u>In order to comply with the requirements of Certificate Transparency, CAs may use pre-certificates and certificates that contain the same serial number and are issued from the same Subordinate CA Certificate.</u></i></b><o:p></o:p></p>

</div>

</blockquote>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I think the language here should be cleaned up, because "pre-certificate" is not defined in the document. In particular, I suggest that you state the exemption in terms of the presence of the critical poison extension and that the two certificates

 must be bit-for-bit identical except for the poison extension, the SCT extension, and the signature, and the length fields of the tbsCertificate and tbsCertificate.extensions fields. This way, you avoid creating a giant and unintended loophole in the BRs.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Also, I suggest that you time-box the exemption so that it doesn't continue in perpetuity, past when CT is fixed.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Cheers,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Brian<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><br>

<br>

<br>

<o:p></o:p></p>

<pre>_______________________________________________<o:p></o:p></pre>

<pre>Public mailing list<o:p></o:p></pre>

<pre><a href="mailto:Public@cabforum.org">Public@cabforum.org</a><o:p></o:p></pre>

<pre><a href="https://cabforum.org/mailman/listinfo/public">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></pre>

</blockquote>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre><table class="TM_EMAIL_NOTICE"><tr><td><pre>

TREND MICRO EMAIL NOTICE

The information contained in this email and any attachments is confidential 

and may be subject to copyright or other intellectual property protection. 

If you are not the intended recipient, you are not authorized to use or 

disclose this information, and we request that you notify us by reply mail or

telephone and delete the original message from your mail system.

</pre></td></tr></table></pre></font></td></tr></table>