<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
p.line874, li.line874, div.line874
        {mso-style-name:line874;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
p.line867, li.line867, div.line867
        {mso-style-name:line867;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
p.line862, li.line862, div.line862
        {mso-style-name:line862;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.apple-converted-space
        {mso-style-name:apple-converted-space;}
span.u
        {mso-style-name:u;}
p.line891, li.line891, div.line891
        {mso-style-name:line891;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:311493411;
        mso-list-template-ids:-433570244;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:\F0B7;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l0:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l0:level3
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level4
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level5
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level6
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level7
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level8
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level9
        {mso-level-number-format:bullet;
        mso-level-text:\F0A7;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Last February the Forum passed Ballot 144 which allowed the issuance of .onion certs (even EV certs) through November 1, 2015.  See ballot below.  A key provision is Sec. 5 which reads:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black;background:white">5. CAs MUST NOT issue a Certificate that includes a Domain Name where .onion is in the right-most label of the Domain Name with a validity period longer than 15 months.
 Despite Section 9.2.1 of the Baseline Requirements deprecating the use of Internal Names, a CA MAY issue a Certificate containing an .onion name with an expiration date later than 1 November 2015 after (and only if) .onion is officially recognized by the IESG
 as a reserved TLD.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-left:.5in"><span style="color:black;background:white"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:black;background:white">The IESG has not yet recognized .onion as a reserved TLD.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black;background:white"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:black;background:white">Trend Micro voted against Ballot 144 because we were not comfortable with the security around vetting and uniqueness of a .onion domain name.  However, IESG has failed to act over the last nine
 months, and no problems or abuses have come to light for .onion certs.  Trend Micro would favor a further extension until we get a definitive yes or no from IESG.  Perhaps an additional nine months would be appropriate.  (Note: there is a clash today between
 allowing .onion certs and the prohibition against Internal Names, but that can’t be helped).<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black;background:white"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:black;background:white">So we would endorse a ballot to extend.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:black;background:white"><o:p> </o:p></span></p>
<p class="MsoNormal">*****<o:p></o:p></p>
<p class="line874" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">Ballot 144</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">1) Amend Section 9.2.1 of the Baseline Requirements v. 1.2.3 as follows:<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">9.2.1 Subject Alternative Name Extension Certificate Field: extensions:subjectAltName Required/Optional: Required Contents: This extension MUST contain at least one entry. Each entry
 MUST be either a dNSName containing the Fully-Qualified Domain Name or an iPAddress containing the IP address of a server. The CA MUST confirm that the Applicant controls the Fully-Qualified Domain Name or IP address or has been granted the right to use it
 by the Domain Name Registrant or IP address assignee, as appropriate.<o:p></o:p></span></p>
<p class="line862" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">Wildcard FQDNs are permitted. As of the Effective Date of these Requirements, prior to the issuance of a Certificate with a subjectAlternativeName extension or Subject commonName field
 containing a Reserved IP Address or Internal Name, the CA SHALL notify the Applicant that the use of such Certificates has been deprecated by the CA / Browser Forum and that the practice will be eliminated by October 2016. Also as of the Effective Date, the
 CA SHALL NOT issue a certificate with an Expiry Date later than 1 November 2015 with a subjectAlternativeName extension or Subject commonName field containing a Reserved IP Address or Internal Name. Effective 1 October 2016, CAs SHALL revoke all unexpired
 Certificates whose subjectAlternativeName extension or Subject commonName field contains a Reserved IP Address or Internal Name.<span class="apple-converted-space"> </span><span class="u"><u>Effective May 1, 2015, each CA SHALL revoke all unexpired Certificates
 with an Internal Name using onion as the right-most label in an entry in the subjectAltName Extension or commonName field unless such Certificate was issued in accordance with Appendix F of the EV Guidelines.</u></span><o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">2) Amend Section 9.2.2 and 11.7.1 of the Guidelines for the Issuance and Management of Extended Validation Certificates v1.5.2 as follows:<o:p></o:p></span></p>
<p class="line862" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">9.2.2. Subject Alternative Name Extension Certificate field: subjectAltName:dNSName Required/Optional: Required Contents: This extension MUST contain one or more host Domain Name(s)
 owned or controlled by the Subject and to be associated with the Subject’s server. Such server MAY be owned and operated by the Subject or another entity (e.g., a hosting service). Wildcard certificates are not allowed for EV Certificates<span class="apple-converted-space"><u> </u></span><span class="u"><u>except
 as permitted under Appendix F</u></span>.<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">11.7 Verification of Applicant’s Domain Name<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">11.7.1. Verification Requirements<o:p></o:p></span></p>
<p class="line862" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">(1) For each Fully-Qualified Domain Name listed in a Certificate,<span class="apple-converted-space"> </span><span class="u"><u>other than a Domain Name with .onion in the right-most
 label of the Domain Name,</u></span><span class="apple-converted-space"><u> </u></span>the CA SHALL confirm that, as of the date the Certificate was issued, the Applicant (or the Applicant’s Parent Company, Subsidiary Company, or Affiliate, collectively referred
 to as “Applicant” for the purposes of this section) either is the Domain Name Registrant or has control over the FQDN using a procedure specified in Section 11.1.1 of the Baseline Requirements, except that a CA MAY NOT verify a domain using the procedure described
 11.1.1(7).<span class="apple-converted-space"> </span><span class="u"><u>For a Certificate issued to a Domain Name with .onion in the right-most label of the Domain Name, the CA SHALL confirm that, as of the date the Certificate was issued, the Applicant’s
 control over the .onion Domain Name in accordance with Appendix F.</u></span><o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">(2) Mixed Character Set Domain Names: EV Certificates MAY include Domain Names containing mixed character sets only in compliance with the rules set forth by the domain registrar. The
 CA MUST visually compare any Domain Names with mixed character sets with known high risk domains. If a similarity is found, then the EV Certificate Request MUST be flagged as High Risk. The CA must perform reasonably appropriate additional authentication and
 verification to be certain beyond reasonable doubt that the Applicant and the target in question are the same organization.<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">3) Add a new Appendix F to the the Guidelines for the Issuance and Management of Extended Validation Certificates v1.5.2:<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">Appendix F – Issuance of Certificates for .onion Domain Names<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">A CA may issue an EV Certificate with .onion in the right-most label of the Domain Name provided that issuance complies with the requirements set forth in this Appendix: 1. CAB Forum
 Tor Service Descriptor Hash extension (2.23.140.1.31) The CAB Forum has created an extension of the TBSCertificate for use in conveying hashes of keys related to .onion addresses. The Tor Service Descriptor Hash extension has the following format:<o:p></o:p></span></p>
<p class="line862" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">cabf-<a href="https://www.cabforum.org/wiki/TorServiceDescriptor"><span style="color:gray;border:none windowtext 1.0pt;padding:0in">TorServiceDescriptor</span></a><span class="apple-converted-space"> </span>OBJECT
 IDENTIFIER ::= { 2.23.140.1.31 }<o:p></o:p></span></p>
<p class="line867" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black"><a href="https://www.cabforum.org/wiki/TorServiceDescriptorSyntax"><span style="color:gray;border:none windowtext 1.0pt;padding:0in">TorServiceDescriptorSyntax</span></a><span class="apple-converted-space"> </span>::=<o:p></o:p></span></p>
<p class="line862" style="mso-margin-top-alt:3.0pt;margin-right:0in;margin-bottom:3.0pt;margin-left:.5in;text-indent:-.25in;mso-list:l0 level1 lfo1;background:white">
<![if !supportLists]><span style="font-size:10.0pt;font-family:Symbol;color:black"><span style="mso-list:Ignore">·<span style="font:7.0pt "Times New Roman"">       
</span></span></span><![endif]><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">SEQUENCE ( 1..MAX ) of<span class="apple-converted-space"> </span><a href="https://www.cabforum.org/wiki/TorServiceDescriptorHash"><span style="color:gray;border:none windowtext 1.0pt;padding:0in">TorServiceDescriptorHash</span></a><o:p></o:p></span></p>
<p class="line867" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black"><a href="https://www.cabforum.org/wiki/TorServiceDescriptorHash"><span style="color:gray;border:none windowtext 1.0pt;padding:0in">TorServiceDescriptorHash</span></a>:: = SEQUENCE {<o:p></o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" style="margin-left:6.0pt;border-collapse:collapse">
<tbody>
<tr>
<td style="border:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">onionURI<o:p></o:p></span></p>
</td>
<td style="border:solid #ADB9CC 1.0pt;border-left:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">UTF8String<o:p></o:p></span></p>
</td>
</tr>
<tr>
<td style="border:solid #ADB9CC 1.0pt;border-top:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">algorithm<o:p></o:p></span></p>
</td>
<td style="border-top:none;border-left:none;border-bottom:solid #ADB9CC 1.0pt;border-right:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line891" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><a href="https://www.cabforum.org/wiki/AlgorithmIdentifier"><span style="color:gray;border:none windowtext 1.0pt;padding:0in">AlgorithmIdentifier</span></a><o:p></o:p></span></p>
</td>
</tr>
<tr>
<td style="border:solid #ADB9CC 1.0pt;border-top:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">subjectPublicKeyHash<o:p></o:p></span></p>
</td>
<td style="border-top:none;border-left:none;border-bottom:solid #ADB9CC 1.0pt;border-right:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">BIT STRING<o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">}<o:p></o:p></span></p>
<p class="line862" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">Where the<span class="apple-converted-space"> </span><a href="https://www.cabforum.org/wiki/AlgorithmIdentifier"><span style="color:gray;border:none windowtext 1.0pt;padding:0in">AlgorithmIdentifier</span></a><span class="apple-converted-space"> </span>is
 a hashing algorithm (defined in RFC 6234) performed over the DER-encoding of an ASN.1<span class="apple-converted-space"> </span><a href="https://www.cabforum.org/wiki/SubjectPublicKey"><span style="color:gray;border:none windowtext 1.0pt;padding:0in">SubjectPublicKey</span></a><span class="apple-converted-space"> </span>of
 the .onion service and<a href="https://www.cabforum.org/wiki/SubjectPublicKeyHash"><span style="color:gray;border:none windowtext 1.0pt;padding:0in">SubjectPublicKeyHash</span></a><span class="apple-converted-space"> </span>is the hash output.<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">2. The CA MUST verify the Applicant’s control over the .onion Domain Name using one of the following:<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">a. The CA MAY verify the Applicant’s control over the .onion service by posting a specific value at a well-known URL under RFC5785.<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">b. The CA MAY verify the Applicant’s control over the .onion service by having the Applicant provide a Certificate Request signed using the .onion public key if the Attributes section
 of the certificationRequestInfo contains:<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">(i) A caSigningNonce attribute that 1) contains a single value with at least 64-bits of entropy, 2) is generated by the CA, and 3) delivered to the Applicant through a Verified Method
 of Communication and (ii) An applicantSigningNonce attribute that 1) contains a single value with at least 64-bits of entropy and 2) is generated by the Applicant.<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">The signing nonce attributes have the following format:<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">caSigningNonce ATTRIBUTE ::= {<o:p></o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" style="margin-left:6.0pt;border-collapse:collapse">
<tbody>
<tr>
<td style="border:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">WITH SYNTAX<o:p></o:p></span></p>
</td>
<td style="border:solid #ADB9CC 1.0pt;border-left:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">OCTET STRING<o:p></o:p></span></p>
</td>
</tr>
<tr>
<td style="border:solid #ADB9CC 1.0pt;border-top:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">EQUALITY MATCHING RULE<o:p></o:p></span></p>
</td>
<td style="border-top:none;border-left:none;border-bottom:solid #ADB9CC 1.0pt;border-right:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">octetStringMatch<o:p></o:p></span></p>
</td>
</tr>
<tr>
<td style="border:solid #ADB9CC 1.0pt;border-top:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">SINGLE VALUE<o:p></o:p></span></p>
</td>
<td style="border-top:none;border-left:none;border-bottom:solid #ADB9CC 1.0pt;border-right:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">TRUE<o:p></o:p></span></p>
</td>
</tr>
<tr>
<td style="border:solid #ADB9CC 1.0pt;border-top:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">ID<o:p></o:p></span></p>
</td>
<td style="border-top:none;border-left:none;border-bottom:solid #ADB9CC 1.0pt;border-right:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">{ cabf-caSigningNonce }<o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">}<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">cabf-caSigningNonce OBJECT IDENTIFIER ::= { cabf 41 }<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">applicantSigningNonce ATTRIBUTE ::= {<o:p></o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" style="margin-left:6.0pt;border-collapse:collapse">
<tbody>
<tr>
<td style="border:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">WITH SYNTAX<o:p></o:p></span></p>
</td>
<td style="border:solid #ADB9CC 1.0pt;border-left:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">OCTET STRING<o:p></o:p></span></p>
</td>
</tr>
<tr>
<td style="border:solid #ADB9CC 1.0pt;border-top:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">EQUALITY MATCHING RULE<o:p></o:p></span></p>
</td>
<td style="border-top:none;border-left:none;border-bottom:solid #ADB9CC 1.0pt;border-right:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">octetStringMatch<o:p></o:p></span></p>
</td>
</tr>
<tr>
<td style="border:solid #ADB9CC 1.0pt;border-top:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">SINGLE VALUE<o:p></o:p></span></p>
</td>
<td style="border-top:none;border-left:none;border-bottom:solid #ADB9CC 1.0pt;border-right:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">TRUE<o:p></o:p></span></p>
</td>
</tr>
<tr>
<td style="border:solid #ADB9CC 1.0pt;border-top:none;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">ID<o:p></o:p></span></p>
</td>
<td style="border-top:none;border-left:none;border-bottom:solid #ADB9CC 1.0pt;border-right:solid #ADB9CC 1.0pt;padding:3.0pt 6.0pt 3.0pt 6.0pt">
<p class="line862" style="margin:0in;margin-bottom:.0001pt"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">{ cabf-applicantSigningNonce }<o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">}<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">cabf-applicantSigningNonce OBJECT IDENTIFIER ::= { cabf 42 }<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">4. Each Certificate that includes a Domain Name where .onion is in the right-most label of the Domain Name MUST conform to the requirements of these Guidelines, including the content
 requirements in Section 9 and Appendix B of the Baseline Requirements, except that the CA MAY include a wildcard character in the Subject Alternative Name Extension and Subject Common Name Field as the left-most character in the .onion Domain Name provided
 inclusion of the wildcard character complies with Section 11.1.3 of the Baseline Requirements.<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">5. CAs MUST NOT issue a Certificate that includes a Domain Name where .onion is in the right-most label of the Domain Name with a validity period longer than 15 months. Despite Section
 9.2.1 of the Baseline Requirements deprecating the use of Internal Names, a CA MAY issue a Certificate containing an .onion name with an expiration date later than 1 November 2015 after (and only if) .onion is officially recognized by the IESG as a reserved
 TLD.<o:p></o:p></span></p>
<p class="line874" style="background:white;orphans: auto;text-align:start;widows: 1;-webkit-text-stroke-width: 0px;word-spacing:0px">
<span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">6. On or before May 1, 2015, each CA MUST revoke all Certificates issued with the Subject Alternative Name extension or Common Name field that includes a Domain Name where .onion is
 in the right-most label of the Domain Name unless the Certificate was issued in compliance with this Appendix F.<o:p></o:p></span></p>
<p class="MsoNormal" style="text-autospace:none"><o:p> </o:p></p>
</div>
</body>
</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre><table class="TM_EMAIL_NOTICE"><tr><td><pre>
TREND MICRO EMAIL NOTICE
The information contained in this email and any attachments is confidential 
and may be subject to copyright or other intellectual property protection. 
If you are not the intended recipient, you are not authorized to use or 
disclose this information, and we request that you notify us by reply mail or
telephone and delete the original message from your mail system.
</pre></td></tr></table></pre></font></td></tr></table>