
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:Helvetica;


        panose-1:2 11 6 4 2 2 2 2 2 4;}


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Consolas;


        panose-1:2 11 6 9 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


pre


        {mso-style-priority:99;


        mso-style-link:"HTML Preformatted Char";


        margin:0in;


        margin-bottom:.0001pt;


        font-size:10.0pt;


        font-family:"Courier New";}


span.apple-converted-space


        {mso-style-name:apple-converted-space;}


span.EmailStyle18


        {mso-style-type:personal;


        font-family:"Calibri",sans-serif;


        color:#1F497D;


        font-weight:normal;


        font-style:normal;}


span.EmailStyle19


        {mso-style-type:personal;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


span.EmailStyle20


        {mso-style-type:personal;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


span.HTMLPreformattedChar


        {mso-style-name:"HTML Preformatted Char";


        mso-style-priority:99;


        mso-style-link:"HTML Preformatted";


        font-family:"Consolas",serif;}


span.EmailStyle23


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Kirk,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I think the risk is higher. A hash collision attack happens at the time of certificate issuance. The proposal would add an additional year for a collision attack


 to take place.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Bruce.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org]


<b>On Behalf Of </b>kirk_hall@trendmicro.com<br>


<b>Sent:</b> Thursday, September 3, 2015 1:48 AM<br>


<b>To:</b> CABFPub (public@cabforum.org) <public@cabforum.org><br>


<b>Subject:</b> [cabfpub] CAB Forum Policy Change request<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Reposting to public list. 


<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We support the proposal, as it doesn’t appear to have a different result than current policy under the Baseline Requirements – SHA-1 certs can continue so long as they expire


 on or before Jan. 1, 2017.  What difference does it make whether the cert was issued before or after Jan. 1, 2016 – the security risk is the same.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Kirk Hall (RD-US)


<br>


<b>Sent:</b> Wednesday, September 02, 2015 1:54 PM<br>


<b>To:</b> 'Rick Andrews'; <a href="mailto:management@cabforum.org">management@cabforum.org</a><br>


<b>Cc:</b> Mark Kelly; Shannon Ortiz<br>


<b>Subject:</b> RE: [cabfquest] CAB Forum Policy Change request<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">While we have not received such customer requests, Trend Micro would support this to handle legacy customer issues.  The certs could (would) be deprecated in the browsers as


 they choose, but if the customer is willing to deal with that and knows of potential risks, we don’t see a big difference between a SHA-1 cert issued on 12/31/2015 and expiring on 1/1/2017 versus a SHA-1 cert issued on Jan. 1, 2016 (or March 1, or July 1)


 and expiring on 1/1/2017.  Seems like the level of risk is about the same for all these cases.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">


<a href="mailto:management-bounces@cabforum.org">management-bounces@cabforum.org</a> [<a href="mailto:management-bounces@cabforum.org">mailto:management-bounces@cabforum.org</a>]


<b>On Behalf Of </b>Rick Andrews<br>


<b>Sent:</b> Wednesday, September 02, 2015 1:47 PM<br>


<b>To:</b> <a href="mailto:management@cabforum.org">management@cabforum.org</a><br>


<b>Cc:</b> Mark Kelly; Shannon Ortiz<br>


<b>Subject:</b> Re: [cabfman] [cabfquest] CAB Forum Policy Change request<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Removing AT&T for the moment, and posting to the Management list instead of the Questions list.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I believe that to meet AT&T’s needs, we’d simply need to remove this sentence from the BRs: “Effective 1 January 2016, CAs MUST NOT issue any new Subscriber certificates


 or Subordinate CA certificates using the SHA‐1 hash algorithm.” We would still be left with “CAs SHOULD NOT issue Subscriber Certificates utilizing the SHA‐1 algorithm with an Expiry Date greater than 1 January 2017.” We could even change the SHOULD NOT in


 that sentence to MUST. <o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">It’s essentially the same as a proposal that I made to Tom Albertson of Microsoft a while ago when he first started discussing SHA-1 deprecation. I said that


 in the past, we’d had customers complain strongly about arbitrary deadlines that are difficult for them to meet, especially when those deadlines are at the end of December, a time when many companies freeze their infrastructures. Giving CAs and customers the


 ability to get progressively shorter certs until the final 2017 deadline helps customers a lot. Tom’s opposition was that it allows for more SHA-1 certs to be created, but I would argue that it’s a compromise that would go a long way to achieving the ultimate


 goal with much less business disruption.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Symantec would like to be able to help customers such as AT&T without violating the BRs and receiving a qualified audit next year.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">-Rick<o:p></o:p></span></p>


<div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<div>


<p class="MsoNormal" style="margin-left:.5in">On Aug 31, 2015, at 4:26 PM, WILEMON, ANDREA A <<a href="mailto:aw8139@att.com">aw8139@att.com</a>> wrote:<o:p></o:p></p>


</div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">CAB Browser Forum,<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">This message is from the AT&T Services, Inc., Chief Security Office, Data Protection Team. <span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">ISSUE</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We are writing about the SHA-1 depreciation policy that all trusted Internet Certification Authorities must comply.  Our specific concern is the December


 31, 2015 deadline for obtaining SHA-1 server certificates.  This timeframe does not allow flexibility for our applications running SHA-1 certificates now with migration plans for the SHA-256 upgrade in 2016.<span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">BACKGROUND</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We understand all CA issued SHA-1 certificates must expire by 12/31/2016 to comply with the Microsoft Windows Root Certificate Program technical requirements


 disabling Windows SHA-1 support in 2017. <span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in;text-indent:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Please note at:<span class="apple-converted-space"> </span><a href="https://urldefense.proofpoint.com/v2/url?u=http-3A__social.technet.microsoft.com_wiki_contents_articles_31633.microsoft-2Dtrusted-2Droot-2Dprogram-2Drequirements.aspx&d=BQMFAg&c=eEvniauFctOgLOKGJOplqw&r=bPeNvovSv0L4jj3hFD6Tw5sI3rGGNujxDceaEaUPuUQ&m=ZAkCyRUyNPWbkd0s3fkfjeZO8EmFbGVXhmSu5qjGlhc&s=c3bbI7UNyV1nTqGsbjW4HHr-KlCS37HhfXpIPnpZHSo&e=">http://social.technet.microsoft.com/wiki/contents/articles/31633.microsoft-trusted-root-program-requirements.aspx</a> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Symantec, our Certification Authority (CA) vendor, confirmed in 2014 that we would retain the option to issue SHA-1 certificates in 2016 with expiration


 no later than 12/31/2016, for:<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in;text-indent:-.25in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">1)</span><span style="font-size:7.0pt">     <span class="apple-converted-space"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Our


 applications that can’t upgrade in 2015 and need new or renewal SHA-1 certificates for part of 2016.<span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in;text-indent:-.25in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">2)</span><span style="font-size:7.0pt">     <span class="apple-converted-space"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Continued


 support of legacy applications scheduled to retire in 2016 which need SHA-1 certificate renewal.<span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We successfully migrated to 2048-bit encryption keys using this method during the last PKI industry standard change and were assured the same option


 would be available for the SHA-256 migration in 2016.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">NEGATIVE BUSINESS IMPACTS</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Symantec recommended issuing all SHA-1 certificates that expire in 2016 by the end of 2015.  This interim solution is not feasible to implement for


 multiple reasons:<span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">1) Symantec’s proposal involves changing thousands of SHA-1 certificates that will translate to a high volume of unplanned operations and workload


 churn.  Specifically, the operational complexities of tracking server key store changes followed by the secondary labor intensive task to manually revoke each decommissioned certificate.  PKI security isn’t strengthened by limiting SHA-1 certificate issuance


 in 2016.  We increase risk for private key compromise by leaving decommissioned but valid key pairs scattered across many servers pending revokes.<span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">2) AT&T freezes non-emergency changes from mid-November through mid-January for zero customer service disruptions during the holidays.  Technically


 we have less than three months to migrate the remaining SHA-1 certificates which equates to thousands of certificates.  Three months does not provide sufficient time to deploy Symantec’s solution.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in;text-indent:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">3) Some applications can’t upgrade to SHA-256 until early to mid-2016 when vendor supported software is available.<span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in;text-indent:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">4) Many applications committed to firm 2016 deployment plans and resource allocations for this change and can’t migrate before 12/31/2015


 due to current ongoing commitments.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in;text-indent:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">RESOLUTION</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We request a policy change allowing Symantec to continue issuing less-than-one-year SHA-1 certificates after 12/31/2015 under their public trusted


 PKI hierarchy to support our remaining applications scheduled for SHA-256 adoption or retirement in 2016.  <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We must retain the option to issue SHA-1 certificates in 2016, with expiration no later than December 31, 2016, for enrollments, renewals and replacements


 to support uninterrupted production services. <span class="apple-converted-space"> </span><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">In closing, we agree with the CA Browser Forum’s intent but do not agree with the execution of this high business impact policy change that will involve


 many software providers, hardware vendors and businesses.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Andrea</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#FFC000">Andrea A. Wilemon, CISSP</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Principle-Technology Security</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><b><i><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#4F81BD">Rethink Possible®<span class="apple-converted-space"> </span></span></i></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:#666666"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Chief Security Office, Mobility, Cloud & Enterprise Security</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#FFC000">AT&T Services, Inc.</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#1F497D">P: 248-424-4115</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><a href="mailto:aw8139@att.com"><span style="font-size:10.0pt;font-family:"Calibri",sans-serif">aw8139@att.com</span></a><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:10.0pt;font-family:"Calibri",sans-serif">Send<span class="apple-converted-space"> </span><b>#X<span class="apple-converted-space"> </span></b>before you drive to pause the</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:10.0pt;font-family:"Calibri",sans-serif">conversation until you arrive.<span class="apple-converted-space"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Take the pledge... It Can Wait.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><i><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:#1F497D">This e-mail and any files transmitted with it are the property of AT&T, are confidential, and are intended solely for the use of the


 individual or entity to whom this e-mail is addressed. If you are not one of the named recipient(s) or otherwise have reason to believe that you have received this message in error, please notify the sender at 248-424-4115 and delete this message immediately


 from your computer. Any other use, retention, dissemination, forwarding, printing, or copying of this e-mail is strictly prohibited."</span></i><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><span style="color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"> <span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>


</div>


<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif">_______________________________________________<br>


Questions mailing list<br>


</span><a href="mailto:Questions@cabforum.org"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif">Questions@cabforum.org</span></a><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif"><br>


</span><a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__cabforum.org_mailman_listinfo_questions&d=BQICAg&c=eEvniauFctOgLOKGJOplqw&r=bPeNvovSv0L4jj3hFD6Tw5sI3rGGNujxDceaEaUPuUQ&m=ZAkCyRUyNPWbkd0s3fkfjeZO8EmFbGVXhmSu5qjGlhc&s=rH3ItIyTa4kLx-3C_jU6P1OrzSZVef-pwDY4yrOZdM4&e="><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif">https://urldefense.proofpoint.com/v2/url?u=https-3A__cabforum.org_mailman_listinfo_questions&d=BQICAg&c=eEvniauFctOgLOKGJOplqw&r=bPeNvovSv0L4jj3hFD6Tw5sI3rGGNujxDceaEaUPuUQ&m=ZAkCyRUyNPWbkd0s3fkfjeZO8EmFbGVXhmSu5qjGlhc&s=rH3ItIyTa4kLx-3C_jU6P1OrzSZVef-pwDY4yrOZdM4&e=</span></a><o:p></o:p></p>


</div>


</blockquote>


</div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


<table class="MsoNormalTable" border="0" cellspacing="3" cellpadding="0">


<tbody>


<tr>


<td style="background:white;padding:.75pt .75pt .75pt .75pt">


<table class="MsoNormalTable" border="0" cellspacing="3" cellpadding="0">


<tbody>


<tr>


<td style="padding:.75pt .75pt .75pt .75pt">


<pre><o:p> </o:p></pre>


<pre>TREND MICRO EMAIL NOTICE<o:p></o:p></pre>


<pre>The information contained in this email and any attachments is confidential <o:p></o:p></pre>


<pre>and may be subject to copyright or other intellectual property protection. <o:p></o:p></pre>


<pre>If you are not the intended recipient, you are not authorized to use or <o:p></o:p></pre>


<pre>disclose this information, and we request that you notify us by reply mail or<o:p></o:p></pre>


<pre>telephone and delete the original message from your mail system.<o:p></o:p></pre>


</td>


</tr>


</tbody>


</table>


</td>


</tr>


</tbody>


</table>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</body>


</html>