<div dir="ltr"><div>That seems like an odd redirect, Rick.  You were OK violating the BRs before, but you aren't now?  Why is this issue being raised now, after Microsoft has already fixed the problem on current Windows?  Even the threads Wayne cites are post-Win10.  The rules we make now apply in the future, and in the future, as people upgrade, this is going to be less and less of a problem.<br><br></div><div>As a matter of general practice, legalizing past BR violations is not a pattern I would like this group to follow.  CAs should not be proactively violating the BRs in hopes of getting a BR change later.  If they have a need, they should bring it to the Forum and get the BR change *before* they take an action that's contrary to the current BRs.<br><br></div><div>--Richard<br></div><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 15, 2016 at 7:46 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#44546a">Richard, some of us CAs have “gotten along” by issuing certs that violate this part of the BRs. Given that customers can only get certs that work in Windows if we violate this part of the BRs, and given that Microsoft isn’t able or willing to patch all old versions of Windows to address this, I’d like to legalize what we’ve been forced to do.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#44546a"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#44546a">-Rick<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#44546a"><u></u> <u></u></span></p><p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Richard Barnes [mailto:<a href="mailto:rbarnes@mozilla.com" target="_blank">rbarnes@mozilla.com</a>] <br><b>Sent:</b> Friday, April 15, 2016 3:43 PM<br><b>To:</b> Rick Andrews <<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>><br><b>Cc:</b> <a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a><br><b>Subject:</b> Re: [cabfpub] Proposed new ballot on IP Addresses in SANs<u></u><u></u></span></p><div><div class="h5"><p class="MsoNormal" style="margin-left:.5in"><u></u> <u></u></p><div><p class="MsoNormal" style="margin-left:.5in">Rick: This seems pretty abusive.  Given that apparently you've gotten along without this so far, what's the compelling use case?<u></u><u></u></p></div><div><p class="MsoNormal" style="margin-left:.5in"><u></u> <u></u></p><div><p class="MsoNormal" style="margin-left:.5in">On Fri, Apr 15, 2016 at 6:09 PM, Rick Andrews <<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>> wrote:<u></u><u></u></p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><p class="MsoNormal" style="margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">It’s come to our attention that all versions of Windows prior to Windows 10<br>cannot handle SANs of type IPAddress. Those older versions correctly handle<br>IP addresses in SANs if they are of type dNSName. Jody from Microsoft has<br>confirmed this.<br><br>I’d like to propose a ballot to allow IP addresses in SANs of type dNSName<br>to allow for this. Jody has said he would endorse. I need another endorser.<br>The proposed change is this (added text between + signs):<br><br>7.1.4.2.1 Subject Alternative Name Extension<br>Each entry MUST be either a dNSName containing the Fully<span style="font-family:"Cambria Math",serif">‐</span>Qualified Domain<br>Name +or the IP address of a server,+ or an iPAddress containing the IP<br>address of a server<br><span style="color:#888888"><br><span>-Rick</span><br></span><br>_______________________________________________<br>Public mailing list<br><a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br><a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><u></u><u></u></p></blockquote></div><p class="MsoNormal" style="margin-left:.5in"><u></u> <u></u></p></div></div></div></div></div></blockquote></div><br></div>