<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-2022-jp">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Good afternoon everyone,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have a quick question, must a Root CA operate an OCSP for intermediate certificates or is it only required for intermediate and end entity issuing CAs? Or in other words, must all CAB Forum compliant CAs operate an OCSP or only selected
 ones? It is not clear in the BRs which CAs must operate an OCSP.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">4.9.10. On$B!>(Bline Revocation Checking Requirements says<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">$B!D(Bthe CA SHALL support an OCSP capability using the GET method for Certificates issued in accordance with these Requirements.<o:p></o:p></p>
<p class="MsoNormal">For the status of Subscriber Certificates$B!D(B<o:p></o:p></p>
<p class="MsoNormal">For the status of Subordinate CA Certificates$B!D!I(B<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">In the BR Cert profiles, subordinate CA certs and end-entity certs MUST have an AIA (OCSP) extension, and they MAY have a CDP (CRL) extension. A subordinate CA having an OCSP in its AIA would denote that the issuing CA of that subordinate
 operates an OCSP.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">We are looking at whether our Root CA must operate an OCSP for our intermediate CA certificates to be BR compliant.<o:p></o:p></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#5B9BD5"><o:p> </o:p></span></b></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#5B9BD5">Kenneth Myers<o:p></o:p></span></b></p>
<p class="MsoNormal"><b><span style="font-size:8.0pt;font-family:"Verdana",sans-serif">Supporting GSA Federal PKI Management Authority<o:p></o:p></span></b></p>
<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#555555;background:white">Protiviti | Government Solutions | Manager<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#555555;background:white">DC             | +1 571-469-9038 |
</span><a href="mailto:Kenneth.Myers@GSA.gov"><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#0563C1;background:white">Kenneth.Myers@GSA.gov</span></a><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#555555;background:white"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#555555;background:white">Alexandria  |
</span><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#555555">+1 571-366-6120
<span style="background:white">| </span></span><a href="mailto:Kenneth.Myers@Protiviti.com"><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#0563C1;background:white">Kenneth.Myers@Protiviti.com</span></a><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#555555"><br>
<span style="background:white">Connect: </span></span><a href="https://www.linkedin.com/in/kennethmy"><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#0563C1;background:white">LinkedIn</span></a><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#555555;background:white">
 | Thought Leadership: </span><a href="http://www.protiviti.it/en-US/Pages/Insights.aspx"><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#0563C1;background:white">Protiviti.com</span></a><span style="font-size:8.0pt;font-family:"Verdana",sans-serif;color:#555555;background:white"><o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
NOTICE: Protiviti is a global consulting and internal audit firm composed of experts specializing in risk and advisory services. Protiviti is not licensed or registered as a public accounting firm and does not issue opinions on financial statements or offer
 attestation services. This electronic mail message is intended exclusively for the individual or entity to which it is addressed. This message, together with any attachment, may contain confidential and privileged information. Any views, opinions or conclusions
 expressed in this message are those of the individual sender and do not necessarily reflect the views of Protiviti Inc. or its affiliates. Any unauthorized review, use, printing, copying, retention, disclosure or distribution is strictly prohibited. If you
 have received this message in error, please immediately advise the sender by reply email message to the sender and delete all copies of this message. Thank you.
</body>
</html>