<p dir="ltr"><br>
On Jan 27, 2016 7:36 PM, "Dean Coclin" <<a href="mailto:Dean_Coclin@symantec.com">Dean_Coclin@symantec.com</a>> wrote:<br>
><br>
> I think we still need to refine mis-issuance as defined below. It currently<br>
> presents a very onerous obligation that seems unwarranted in some cases. Let<br>
> me give an example:<br>
><br>
> Suppose my hypothetical business, "Dean's Wine Shop", submits a CSR with the<br>
> name mistyped as "Dean's WineShop". The CA receives the CSR, doesn't catch<br>
> the typo, and issues the certificate. Now I get it back, realize I made a<br>
> typo and inform the CA. The CA fixes it and immediately reissues the<br>
> certificate. Does this disclosure requirement suddenly kick in?  Did the CA<br>
> "mis-issue" the certificate?  I fail to see how the public is helped by this<br>
> information (unless we are turning this into some Consumer Reports rating to<br>
> show how many times CAs make typos).</p>
<p dir="ltr">Doesn't the CA have an obligation to verify that the information as it appears within the subject has been validated? Wouldn't this have failed in the case of such a typo?</p>
<p dir="ltr">The BRs spend a significant amount of time detailing the needs for names to be meaningful and validated, and it would be of interest to the general public and to root stores to know if there are patterns emerging - both within a single CA, but also within the industry at large - that suggest the current controls in the BRs are inadequate - or too onerous.</p>
<p dir="ltr">><br>
> Perhaps I'm missing something and I'm happy to be enlightened.<br>
><br>
> Thanks<br>
> Dean<br>
><br>
</p>