<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 7, 2015 at 3:38 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Sigbjørn,<br>
<br>
While we agree with this proposal, it wouldn't address our key use case.<br>
<br>
We've talked to very large customers about technically-constrained intermediates, and this is consistently not doable because their list of owned domains changes so frequently. After further consideration, issuing internal-only or non-browser certs from a private root is the most straightforward and comprehensive approach.<br></blockquote><div><br></div>Rick,<div><br></div><div>When you say "private root", you mean a root that is exempted from the Baseline Requirements (presumably, because it is not a publicly trusted root), correct?</div><div><br></div><div>If that's a correct understanding, would it be fair to interpret your response as meaning that you withdraw your concerns, because they would not affect you? Or are there still concerns you feel with this proposal that, even under the scenario you described, would require modification to the proposed language?</div></div></div></div>