<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks, Peter.  The process has always required both completed WebTrust/ETSI audits AND being included in browser root programs.  Because Gerv and Ryan don’t
 believe that the Forum should require a BR WebTrust audit to join (even though Mozilla requires a BR WebTrust audit to be included in the Mozilla trusted root store), I was trying to accommodate their concerns by simply tying the question of who is a “real”
 operating CA to the independent decision of at least two browser members.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">To my knowledge, we have not had any pubic CAs apply to be a member (or show a desire to apply) who had not already completed audit(s) and gotten in root store(s),
 so this seems to be a somewhat hypothetical issue.  You can’t really issue certs to the public without that.  Can you provide an example of a company you would consider a public CA that has not completed audits and gotten at least one root in a root program
 or two?  The main work of the Forum is to come up with best practices for public CAs, so it seems prospective members should be able to meet the requirements of being a public CA.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Peter Bowen [mailto:pzbowen@gmail.com]
<br>
<b>Sent:</b> Monday, June 08, 2015 8:02 PM<br>
<b>To:</b> Kirk Hall (RD-US)<br>
<b>Cc:</b> CABFPub (public@cabforum.org)<br>
<b>Subject:</b> Re: [cabfpub] Proposed revision to Ballot 149 - Updating Membership Bylaws<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<div>
<p class="MsoNormal">On Mon, Jun 8, 2015 at 4:39 PM, <a href="mailto:kirk_hall@trendmicro.com">
kirk_hall@trendmicro.com</a> <<a href="mailto:kirk_hall@trendmicro.com" target="_blank">kirk_hall@trendmicro.com</a>> wrote:<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Here’s an idea for moving forward on Ballot 149, which was intended to update our Bylaw 2.1 on membership rules.  Most of the draft ballot is uncontroversial, but one part has drawn
 opposition from Gerv and Ryan.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">In concept, my proposal is that any CA with
<u>at least one root</u> in the trusted root store of <u>at least two browser members of the CA-Browser Forum</u>  who maintain independent root stores can become a member, if they satisfy all the other requirements.  I suggest two browser members because the
 day could come when a single browser member drops all audit requirements, etc.  Also, it’s hard to see a CA that has a root in only a single browser as being a viable CA.<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Kirk,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">As you probably know by now, I have a personal interest in the requirements for joining the CA/Browser Forum.  I want to get that out there so there is no confusion.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">The Forum has six browser vendors today: Apple, Google, Microsoft, Mozilla, Opera, and Qihoo 360 (<a href="https://cabforum.org/members/">https://cabforum.org/members/</a>).  Of these, it is only clear that three of them maintain "independent"
 trust stores.  Apple, Microsoft, and Mozilla all have clear processes to maintain trust stores that do not depend on any of the other members.  Opera and Google clearly state that they have dependencies on one of the three prior organizations and Qihoo 360
 does not have a clear statement on its trust store as far as I can tell.  Therefore this would imply that a CA must have a root in 2/3 of the applicable trust stores.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">This also creates a very large delay in joining for new CAs.  Mozilla notes that the total time is as little as 8 months but typically close to a year.  Microsoft and Apple do not public timelines, but I my understanding is that the process
 can take several months.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I think the Forum should be focused on welcoming new members who meet basic qualifications and this proposal does not do that.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Peter<o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</body>
</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre><table class="TM_EMAIL_NOTICE"><tr><td><pre>
TREND MICRO EMAIL NOTICE
The information contained in this email and any attachments is confidential 
and may be subject to copyright or other intellectual property protection. 
If you are not the intended recipient, you are not authorized to use or 
disclose this information, and we request that you notify us by reply mail or
telephone and delete the original message from your mail system.
</pre></td></tr></table></pre></font></td></tr></table>