<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Feb 25, 2016, at 3:12 PM, Ryan Sleevi <<a href="mailto:sleevi@google.com" class="">sleevi@google.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=utf-8" class=""><div dir="ltr" class=""><br class=""><div class="gmail_extra"><br class=""><div class="gmail_quote">On Thu, Feb 25, 2016 at 3:00 PM, Ben Wilson <span dir="ltr" class=""><<a href="mailto:ben.wilson@digicert.com" target="_blank" class="">ben.wilson@digicert.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72" class=""><p class=""><span class="">1.<span style="font-style:normal;font-variant:normal;font-weight:normal;font-stretch:normal;font-size:7pt;line-height:normal;font-family:'Times New Roman'" class="">       </span></span><u class=""></u>Where the intent of the guidelines is to discuss the end entity subscriber, as opposed to an intermediate CA subscriber, replace the word “subscriber” with the phrase “end entity”.  During this process, we may need to consider how we use the term “Applicant” and “Subject.”  For example, when a certificate is issued, what does the “Applicant” become if not a Subscriber? </p></div></blockquote><div class="">Is there a reference to the issues you see here? As the F2F minutes are not public, nor are your meeting minutes, the best I could do is look through the past two months of the Policy WG to attempt to understand the issue, but I was unable to find any summary or discussion. Apologies if I missed it, but a recap would be greatly appreciated<br class=""></div></div></div></div></div></blockquote><div><br class=""></div><div>I’m not sure about the Applicant/Subscriber bit, but the primary concern was the term “Subscriber Certificate”.  This is not defined anywhere.  Given that a Subscriber could be getting a certificate with CA:True in the basic constraints (e.g. the Subscriber is a subordinate CA), we wanted to change “Subscriber Certificate” to “End-entity Certificate” in most locations and create a definition for “End-entity Certificate”.</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72" class=""><div class=""><p class=""> <u class=""></u><u class=""></u></p><p class=""><u class=""></u><span class="">2.<span style="font-style:normal;font-variant:normal;font-weight:normal;font-stretch:normal;font-size:7pt;line-height:normal;font-family:'Times New Roman'" class="">       </span></span><u class=""></u>Where the intent of the guidelines is to discuss the entity that operates a certification authority, replace the word CA with the phrase “certification service provider”, CSP, or similar.  How do people feel about that? The working group felt that the term “CA” should be reserved to refer to the system that can issue certificates because the basic constraints extension of its certificate contains “CA equals true”.</p></div></div></blockquote><div class="">Apologies for making you expand on arguments that were no doubt discussed on the call, but since you asked for thoughts... what's the logic here?</div><div class=""><br class=""></div><div class="">Is the group feeling that CA refers to the underlying technology? Because that's seemingly wildly at odds with the specs of which the Web PKI builds on (X.509 and 5280, as the most obvious case). It does seem to add any benefit, and would serve to introduce great confusion if we use the commonly accepted term in some new way. It would be helpful to understand the arguments here, which I readily admit, I'm not familiar with.</div></div></div></div></div></blockquote><div><br class=""></div>A single Certification Service Provider (CSP) may run multiple Certification Authorities (CAs).  It is entirely possible that a single entity (the CSP) may operate both a Root CA and one or more CAs that are subordinate to Root CAs.  </div><div><br class=""></div><div>This would clarify and align terminology with the Browser half of the forum; Application Software Suppliers and Certification Service Providers are legal entities and Browsers and CA are things which are personal property.</div><div><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72" class=""><div class=""><p class=""><span class="">3.<span style="font-style:normal;font-variant:normal;font-weight:normal;font-stretch:normal;font-size:7pt;line-height:normal;font-family:'Times New Roman'" class="">       </span></span><u class=""></u>We also hope to standardize on usages of the terms “Intermediate CA” vs. “Subordinate CA” (and possibly address other similar or related concepts in the same ballot).</p></div></div></blockquote><div class="">Similar in response, what problem are you trying to solve here? At least checking through the BRs again, I don't see any mention of "Intermediate CA", so it would be useful to know what standardized usage is envisioned, and why Subordinate CA (or simply CA) does not encompass this.</div></div></div></div></div></blockquote><div><br class=""></div><div>I think the intent here is to ensure we not using “Subordinate CA” alone, but only as an adjective, for example “Subordinate CA Certificate”.</div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote"><div class="">Is there any further discussion of the issue beyond <a href="https://cabforum.org/pipermail/policyreview/2016-February/000231.html" class="">https://cabforum.org/pipermail/policyreview/2016-February/000231.html</a> ? Is that what you're trying to call attention to? If so, I believe I agree with Peter Bowen's remarks (which I take to be "No change needed”)</div></div></div></div></div></blockquote><div><br class=""></div><div>I’m actually one of the proponents of most of these changes.</div><div><br class=""></div><div>Thanks,</div><div>Peter</div></div></body></html>