<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 21, 2016 at 12:01 PM, Ben Wilson <span dir="ltr"><<a href="mailto:ben.wilson@digicert.com" target="_blank">ben.wilson@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">What if we amended section 4.9.2 to read, “The Subscriber can initiate revocation.  Third parties can request revocation in accordance with Section 4.9.3.
<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">See also Section 3.4.”?</span></p></div></div></blockquote><div><br></div><div>Well, again, third-parties aren't requesting revocation, per-se. They're making a Certificate Problem Report (per our glossary)</div><div><br></div><div>In trying to find wording for this, I think I'm a little confused with respect to 4.9.1.1 vs 4.9.1.2, and whether we make a distinction between Subscriber and Subordinate CA. That is, at least as I read it, every Subordinate CA is a Subscriber, but not every Subscriber is a Subordinate CA. Is this your understanding as well? We don't define either type of Certificate, but I would presume the same inclusions apply.</div><div><br></div><div>The reason I ask is whether or not we need to say "The Subscriber" or "The Subscriber or Subordinate CA". My read is that it should just say "Subscriber", but I want to make sure there's agreement of understanding as to what that scope means.</div><div><br></div><div>"The Subscriber, RA, or Issuing CA can initiate revocation. Additionally, Subscribers, Relying Parties, Application Software Suppliers, and other third parties may submit Certificate Problem Reports informing the Issuing CA of reasonable cause to revoke the certificate."</div><div><br></div><div>I'm not sure the "See Also" is necessary, otherwise we need to invoke Section 3.4, 4.9.1 and 4.9.3 collectively to describe the revocation process. Since we omit 4.9.1 and 4.9.3, I'm unclear whether or not we should mention 3.4 explicitly (and whether or not 4.9.4 should also mention See also Section 3.4)</div><div><br></div><div>Note - the clarification of "RA or Issuing CA" is itself borrowed from the discussion of the contents of this section in Section 4.4.9 of RFC 3647.</div></div></div></div>