<p dir="ltr">Reposting with permission</p>
<div class="gmail_quote">On Mar 14, 2015 8:57 AM, "Peter Bowen" <<a href="mailto:pzbowen@gmail.com">pzbowen@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Mar 12, 2015 at 3:34 PM, Jeremy Rowley<br>
<<a href="mailto:jeremy.rowley@digicert.com">jeremy.rowley@digicert.com</a>> wrote:<br>
> This is based on the face-to-face discussions.  Not sure I captured 100% of<br>
> what was said, but it’s probably pretty close.  I’m looking forward to the<br>
> comments.<br>
<br>
I'm not sure what led to the change in 11.1.1 (1), but adding Reliable<br>
Method of Communication does not seem to make sense here.  Reliable<br>
Method of Communication is defined as "a method of communication, such<br>
as a postal/courier delivery address, telephone number, or email<br>
address, that was verified using a source other than the Applicant<br>
Representative."  11.1.1(1) is about the CA talking directly to the<br>
Registrar and confirming that the Applicant is the Registrant.  This<br>
could, for example, comparing the customer signature on each of their<br>
contract for services or because the CA and the Registrar are the same<br>
company and the customer requested the certificate at the same time as<br>
registering the domain.<br>
<br>
My crystal ball is telling me that this change was meant to address a<br>
public comment in another forum that a common process CAs use might<br>
not meet the 11.1.1 1-6:<br>
<br>
"[The CA's CPS] describes a means for validating domain ownership that is<br>
not described within Section 11.1.1 of the BR 1.2.3. In particular, it<br>
uses the WHOIS information (described in 11.1.1 p3) in conjunction with<br>
email (described in 11.1.1 p4) to send to a non-whitelisted address. It<br>
may be that this is seen as an acceptable equivalent (per 11.1.1 p7), or<br>
it may be seen that email satisfies the "Communicating directly"<br>
requirement of 11.1.1 p3, but it was enough to be worth calling out."<br>
<br>
I would suggest changing the revised 11.1.1 (2) to:<br>
<br>
Confirming authorization of the Certificate’s issuance directly with<br>
the Domain Name Registrant using a Reliable Method of Communication<br>
verified either by (i) communication with the Domain Name Registrar or<br>
(ii) being listed as the contact information for  “registrant”,<br>
“technical”, or “administrative” contacts listed in the WHOIS record<br>
for the Base Domain.<br>
<br>
It also seems that the new 11.1.1 (7) is a subset of the new 11.1.1<br>
(8), so I'm not sure why they are both included.<br>
<br>
As a more general comment, it might also be good to clarify how<br>
Wildcard FQDNs work with several of the options.  Maybe additional<br>
text is 11.1.3 is appropriate to clarify how the 11.1.1 rules for<br>
FQDNs should be applied.<br>
<br>
Thanks,<br>
Peter<br>
</blockquote></div>