<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 26, 2015 at 10:30 AM, <a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a> <span dir="ltr"><<a href="mailto:kirk_hall@trendmicro.com" target="_blank">kirk_hall@trendmicro.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Peter – on the issue of membership, I still believe that anyone on your list could potentially apply for membership as a CA.  However, one requirement is that the applicant
 “</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">operates<span style="letter-spacing:-.45pt">
</span>a<span style="letter-spacing:-.1pt"> </span>certific<span style="letter-spacing:-.05pt">a</span>tion<span style="letter-spacing:-.6pt">
</span>authority”, which to me implies providing certificates to others (not just to the applicant’s own websites).  So I would argue that an enterprise with an unconstrained sub-CA in its name that is used only for MPKI/EPKI is not operating a certification
 authority and could not be a Member.  After all, we cover standards for vetting, fraud prevention, etc. that are not relevant to MPKI/EPKI.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">If anyone thinks there is confusion on this point, maybe we need to add a membership limitation in the Bylaws that a CA and SubCA member must be a company that “operates
 a certification authority <b><u>to issue SSL digital certificates to others</u></b>”, or similar language.  Maybe I will add that to the Bylaws ballow.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Thanks for pointing this out.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Kirk</span></p></div></div></blockquote><div><br></div><div>Kirk,</div><div><br></div><div>I'm not sure I agree with your interpretation. The baseline requirements gives a fairly clear definition of "Certification Authority", if you're wishing to use that criteria.</div><div><br></div><div>"to others" is still ambiguous. Is a multi-national corporation with affiliates issuing to others or not?</div><div><br></div><div>More importantly, I still fail to see why the pressing need to restrict membership. There's already the proposal to require even more audits than we do today - that is, the parallel to "Webtrust for CAs" would be "Principles and Criteria for Certification Authorities 2.0", more generally.</div><div><br></div><div>I guess I'm still confused as to the problem you're trying to solve, since it mostly seems to make the Forum more exclusionary.</div></div></div></div>