<p dir="ltr">From Peter</p>
<div class="gmail_quote">On Mar 23, 2015 10:29 PM, "Peter Bowen" <<a href="mailto:pzbowen@gmail.com">pzbowen@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, Mar 23, 2015 at 10:21 PM, Ryan Sleevi <<a href="mailto:sleevi@google.com">sleevi@google.com</a>> wrote:<br>
> On Mar 23, 2015 10:09 PM, "<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>"<br>
> <<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>> wrote:<br>
>> That’s a question for the browsers – Browsers, what do you say?<br>
><br>
> I'm not sure why this is a question for browsers - audit scope is audit<br>
> scope. Some CAs include subordinate CAs in scope of their own audits - such<br>
> as when they control and operate the infrastructure - other CAs don't.<br>
><br>
> Mozilla Root Inclusion Policy (Sections 8 and 10) require that unconstrained<br>
> subordinate CAs be disclosed and audited. Mozilla CA communications from May<br>
> 2014 [1] affirmed this.<br>
><br>
> I would expect that all of the CAs fall in one of the two buckets, and it's<br>
> up to their issuer to decide.<br>
><br>
> From the point of view of program operation, it does not make a difference<br>
> whether or not that subordinate is operated by a third party - have audit<br>
> and fill out the form, will travel.<br>
<br>
Here are two examples of CAs that are not Root CAs in any browser, and<br>
have issued multiple certificates according to CT logs:<br>
<br>
Unisys: <a href="http://uispki.unisys.com/rep/" target="_blank">http://uispki.unisys.com/rep/</a> (Current WebTrust for CA and BR<br>
linked at the bottom of the page)<br>
<br>
SSL.com: <a href="https://secure.comodo.com/products/publiclyDisclosedSubCACerts" target="_blank">https://secure.comodo.com/products/publiclyDisclosedSubCACerts</a><br>
- serial 1100C5BF2758C19969FC68ED729DFCD7 (Audit info at top of page)<br>
<br>
(apologies for picking on both of these, but they were easy to find)<br>
<br>
Both are welcome to join and vote?<br>
<br>
Thanks,<br>
Peter<br>
</blockquote></div>