<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=gb2312"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:SimSun;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:PMingLiU;
        panose-1:2 2 5 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Cambria;
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
@font-face
        {font-family:"\@PMingLiU";
        panose-1:2 2 5 0 0 0 0 0 0 0;}
@font-face
        {font-family:"\@SimSun";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:ZH-TW;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:ZH-TW;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:9.0pt;
        font-family:"Cambria","serif";
        mso-fareast-language:ZH-TW;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:Consolas;
        mso-fareast-language:ZH-TW;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";
        mso-fareast-language:ZH-TW;}
span.a
        {mso-style-name:"\7D14\6587\5B57 \5B57\5143";
        mso-style-priority:99;
        mso-style-link:\7D14\6587\5B57;
        font-family:"Calibri","sans-serif";}
p.a0, li.a0, div.a0
        {mso-style-name:\7D14\6587\5B57;
        mso-style-link:"\7D14\6587\5B57 \5B57\5143";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:ZH-TW;}
span.a1
        {mso-style-name:"\8A3B\89E3\65B9\584A\6587\5B57 \5B57\5143";
        mso-style-priority:99;
        mso-style-link:\8A3B\89E3\65B9\584A\6587\5B57;
        font-family:"Cambria","serif";}
p.a2, li.a2, div.a2
        {mso-style-name:\8A3B\89E3\65B9\584A\6587\5B57;
        mso-style-link:"\8A3B\89E3\65B9\584A\6587\5B57 \5B57\5143";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:ZH-TW;}
span.EmailStyle25
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle26
        {mso-style-type:personal;
        font-family:"Arial","sans-serif";
        color:#1F497D;}
span.EmailStyle27
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle28
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle29
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle30
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>This issue identified by Li-Chun CHEN is filed as Bug 11.  Attached please find a corrected version of the Baseline Requirements redlined as of Ballot 118.  Somehow I had not saved the fully edited version.  Note that while Ballot 118 said that the note on SHA 1 should appear at the bottom of each of the three tables, if we did that then we should add all three notes to the end of all of the tables, which seems unnecessarily redundant.  So you’ll see that I’ve edited only the notes at the end of the tables.  Otherwise, we’d have to copy all six lines of footnotes to tables (1), (2) and (3), which I do not think is necessary.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>This relined version also proposes to address Bugs 7 (section 9.2.4 re-numbering),  8 (erroneous cross-reference in Appendix B) and 9 (DSA table formatting) reported by Rick Andrews.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>I propose that this version be the basis for moving forward with updates to v.1.2.2 and 1.2.3 (accepting these changes before re-editing and re-publishing versions 1.2.2 and 1.2.3).  <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>   <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Please provide any objections to this proposed course of action within 24 hours so I can move forward with editing v. 1.2.2 and 1.2.3 and replacing what we have on the public website.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Sincerely yours,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Ben<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:ZH-CN'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:ZH-CN'> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org] <b>On Behalf Of </b>Ben Wilson<br><b>Sent:</b> Thursday, October 30, 2014 9:27 AM<br><b>To:</b> </span><span lang=ZH-CN style='font-size:10.0pt;font-family:SimSun;mso-fareast-language:ZH-CN'>陳立群</span><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:ZH-CN'>; 'CABFPub'<br><b>Subject:</b> Re: [cabfpub] Ballot 118 - SHA1 Sunset<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='color:#1F497D'>Thanks.  I’ll have to go back through the last several ballots and figure out how I didn’t carry those changes forward.   Then I’ll re-post them as they should be.  <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>] <b>On Behalf Of </b>???<br><b>Sent:</b> Thursday, October 30, 2014 8:28 AM<br><b>To:</b> 'CABFPub'<br><b>Subject:</b> Re: [cabfpub] Ballot 118 - SHA1 Sunset<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>       I found the result as below sentences are not appeared in  <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><a href="https://cabforum.org/wp-content/uploads/BRv1.2.1.pdf">https://cabforum.org/wp-content/uploads/BRv1.2.1.pdf</a><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>or <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><a href="https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf">https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf</a><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>B. In Appendix A of the Baseline Requirements - Cryptographic Algorithm and Key Requirements (Normative), add this note under Table 2, Subordinate CA certificates: <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><u><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>* SHA-1 MAY be used with RSA keys in accordance with the criteria defined in Section 9.4.2. <o:p></o:p></span></u></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>And amend this note at the end of each of the 3 tables. <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>* SHA-1 MAY be used with RSA keys in accordance with <u>the criteria defined in Section 9.4.2</u> <s>until SHA-256 is supported widely by browsers used by a substantial portion of relying-parties worldwide</s>. <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'>        Below is the screen about v 1.23<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><img border=0 width=1920 height=1080 id="圖片_x0020_1" src="cid:image001.png@01CFF43A.AFCAAE90"><span style='font-size:12.0pt;color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:blue'>Sincerely Yours,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:blue'><o:p> </o:p></span></p><p class=MsoPlainText><span style='color:blue'>                                                               Li-Chun CHEN<o:p></o:p></span></p><p class=MsoPlainText><span style='color:blue'>                                                               Engineer<o:p></o:p></span></p><p class=MsoPlainText style='text-indent:174.0pt'><span style='color:blue'>CISSP, CISA, CISM, PMP,<o:p></o:p></span></p><p class=MsoPlainText style='text-indent:174.0pt'><span style='color:blue'>Government Network Service Dept.<o:p></o:p></span></p><p class=MsoPlainText style='text-indent:174.0pt'><span style='color:blue'>Data Communication Business Group<o:p></o:p></span></p><p class=MsoPlainText style='text-indent:174.0pt'><span style='color:blue'>Chunghwa Telecom Co. Ltd.<o:p></o:p></span></p><p class=MsoPlainText style='text-indent:174.0pt'><span style='color:blue'><a href="mailto:realsky@cht.com.tw">realsky@cht.com.tw</a><o:p></o:p></span></p><p class=MsoPlainText style='text-indent:174.0pt'><span style='color:blue'>+886-2-2344-4820#4025<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt;color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D;mso-fareast-language:JA'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D;mso-fareast-language:JA'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:JA'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:JA'> <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>] <b>On Behalf Of </b>Ben Wilson<br><b>Sent:</b> Friday, October 03, 2014 4:56 AM<br><b>To:</b> CABFPub<br><b>Subject:</b> [cabfpub] Ballot 118 - SHA1 Sunset<o:p></o:p></span></p></div></div><p class=MsoNormal><span style='mso-fareast-language:JA'><o:p> </o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>Ballot 118 - SHA1 Sunset</span></b><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'> <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>Kelvin Yiu of Microsoft made the following motion, and Kirk Hall from Trend Micro and Ryan Sleevi from Google have endorsed it. <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>Reason for Ballot</span></b><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'> <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>Over the last year or two, several application software providers have announced deprecation of the SHA-1 algorithm in their software. <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>-- Motion Begins -- <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>A. In the Baseline Requirements, insert the following new section 9.4.2: <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><u><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>9.4.2 SHA-1 Validity Period <o:p></o:p></span></u></b></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><u><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>Effective 1 January 2016, CAs MUST NOT issue any new Subscriber certificates or Subordinate CA certificates using the SHA-1 hash algorithm. CAs MAY continue to sign certificates to verify OCSP responses using SHA1 until 1 January 2017. This Section 9.4.2 does not apply to Root CA or CA cross certificates. CAs MAY continue to use their existing SHA-1 Root Certificates. SHA-2 Subscriber certificates SHOULD NOT chain up to a SHA-1 Subordinate CA Certificate. <o:p></o:p></span></u></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><u><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>Effective 16 January 2015, CAs SHOULD NOT issue Subscriber Certificates utilizing the SHA-1 algorithm with an Expiry Date greater than 1 January 2017 because Application Software Providers are in the process of deprecating and/or removing the SHA-1 algorithm from their software, and they have communicated that CAs and Subscribers using such certificates do so at their own risk. <o:p></o:p></span></u></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>B. In Appendix A of the Baseline Requirements - Cryptographic Algorithm and Key Requirements (Normative), add this note under Table 2, Subordinate CA certificates: <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><u><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>* SHA-1 MAY be used with RSA keys in accordance with the criteria defined in Section 9.4.2. <o:p></o:p></span></u></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>And amend this note at the end of each of the 3 tables. <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>* SHA-1 MAY be used with RSA keys in accordance with <u>the criteria defined in Section 9.4.2</u> <s>until SHA-256 is supported widely by browsers used by a substantial portion of relying-parties worldwide</s>. <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>-- Motion Ends -- <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:JA'>The review period for this ballot shall commence at 2200 UTC on Thursday, 2 October 2014, and will close at 2200 UTC on Thursday, 9 October 2014. Unless the motion is withdrawn during the review period, the voting period will start immediately thereafter and will close at 2200 UTC on Thursday, 16 October 2014. Votes must be cast by posting an on-list reply to this thread. A vote in favor of the motion must indicate a clear 'yes' in the response. A vote against must indicate a clear 'no' in the response. A vote to abstain must indicate a clear 'abstain' in the response. Unclear responses will not be counted. The latest vote received from any representative of a voting member before the close of the voting period will be counted. Voting members are listed here: <a href="https://cabforum.org/members/">https://cabforum.org/members/</a> In order for the motion to be adopted, two thirds or more of the votes cast by members in the CA category and greater than 50% of the votes cast by members in the browser category must be in favor. Quorum is currently nine (9) members– at least nine members must participate in the ballot, either by voting in favor, voting against, or abstaining. <o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:JA'><o:p> </o:p></span></p></div><p class=MsoNormal><b><span style='font-size:12.0pt;font-family:"PMingLiU","serif"'><br><br></span></b><b><span lang=ZH-TW style='font-size:10.0pt;font-family:"PMingLiU","serif"'>本信件可能包含中華電信股份有限公司機密資訊</span></b><b><span style='font-size:10.0pt;font-family:"PMingLiU","serif"'>,<span lang=ZH-TW>非指定之收件者</span>,<span lang=ZH-TW>請勿蒐集、處理或利用本信件內容</span>,<span lang=ZH-TW>並請銷毀此信件</span>. <span lang=ZH-TW>如為指定收件者</span>,<span lang=ZH-TW>應確實保護郵件中本公司之營業機密及個人資料</span>,<span lang=ZH-TW>不得任意傳佈或揭露</span>,<span lang=ZH-TW>並應自行確認本郵件之附檔與超連結之安全性</span>,<span lang=ZH-TW>以共同善盡資訊安全與個資保護責任</span>. <br>Please be advised that this email message (including any attachments) contains confidential information and may be legally privileged. If you are not the intended recipient, please destroy this message and all attachments from your system and do not further collect, process, or use them. Chunghwa Telecom and all its subsidiaries and associated companies shall not be liable for the improper or incomplete transmission of the information contained in this email nor for any delay in its receipt or damage to your system. If you are the intended recipient, please protect the confidential and/or personal information contained in this email with due care. Any unauthorized use, disclosure or distribution of this message in whole or in part is strictly prohibited. Also, please self-inspect attachments and hyperlinks contained in this email to ensure the information security and to protect personal information.</span></b><span style='font-size:12.0pt;font-family:"PMingLiU","serif"'> <o:p></o:p></span></p></div></body></html>