<p dir="ltr"><br>
On Mar 23, 2015 10:09 PM, "<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>" <<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>> wrote:<br>
> That’s a question for the browsers – Browsers, what do you say?</p>
<p dir="ltr">I'm not sure why this is a question for browsers - audit scope is audit scope. Some CAs include subordinate CAs in scope of their own audits - such as when they control and operate the infrastructure - other CAs don't.</p>
<p dir="ltr">Mozilla Root Inclusion Policy (Sections 8 and 10) require that unconstrained subordinate CAs be disclosed and audited. Mozilla CA communications from May 2014 [1] affirmed this.</p>
<p dir="ltr">I would expect that all of the CAs fall in one of the two buckets, and it's up to their issuer to decide.</p>
<p dir="ltr">From the point of view of program operation, it does not make a difference whether or not that subordinate is operated by a third party - have audit and fill out the form, will travel.</p>
<p dir="ltr">[1] <a href="https://wiki.mozilla.org/CA:Communications#May_2014_Responses">https://wiki.mozilla.org/CA:Communications#May_2014_Responses</a></p>