<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Apr 6, 2016, at 3:17 PM, Ryan Sleevi <<a href="mailto:sleevi@google.com" class="">sleevi@google.com</a>> wrote:</div><div class=""><div dir="ltr" class=""><br class=""><div class="gmail_extra"><div class="gmail_quote">On Wed, Apr 6, 2016 at 2:57 PM, Peter Bowen <span dir="ltr" class=""><<a href="mailto:pzb@amzn.com" target="_blank" class="">pzb@amzn.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br class="">
Append " - Subscriber Certificates" to the the title of section 7.1.4.2.<br class=""></blockquote><div class=""><br class=""></div><div class="">Apologies for missing this during the first discussion, could you explain the motivation for this change? This seems to substantially change the obligations regarding the construction of subordinate CA certificates, and so it's helpful to understand the context.</div></div></div></div>
</div></blockquote></div><br class=""><div class="">This change is to address <a href="https://bugzilla.cabforum.org/show_bug.cgi?id=31" class="">https://bugzilla.cabforum.org/show_bug.cgi?id=31</a>, which is one of the bugs Gerv listed in the prior thread.</div><div class=""><br class=""></div><div class="">7.1.4.3 is already "Subject Information – Subordinate CA Certificates”, so I was following the same heading format.</div><div class=""><br class=""></div><div class="">7.1.4.2 says the subject alternative name extension is required and the "extension   MUST    contain at      least   one     entry.          Each    entry   MUST    be      either  a       dNSName containing      
the     Fully‐Qualified       Domain  Name    or      an      iPAddress       containing      the     IP      address of      a       server”.  Clearly this is incorrect for CA certificates.</div><div class=""><br class=""></div><div class="">7.1.2.1/7.1.2.2 call out the requirement for validation of organizationName for CA certificates.  I admit that BR structure here is a little weird — very similar requirements are applied to different types of certificates in 7.1.2 and 7.1.4. It would probably be better to call out validation requirements in one place.  However that is starting to feel like its own ballot as it is going to take some careful thought on how to make it work correctly.</div><div class=""><br class=""></div><div class="">Would you prefer we drop the change to the heading on 7.1.4.2?</div><div class=""><br class=""></div><div class="">Thanks,</div><div class="">Peter</div><div class=""><br class=""></div><div class=""><br class=""></div></body></html>