<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-2022-jp">
<meta name="Generator" content="Microsoft Word 12 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Cambria;
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"MS PGothic";
        panose-1:2 11 6 0 7 2 5 8 2 4;}
@font-face
        {font-family:"\@MS PGothic";
        panose-1:2 11 6 0 7 2 5 8 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0cm;
        margin-right:0cm;
        margin-bottom:8.0pt;
        margin-left:36.0pt;
        text-autospace:ideograph-other;
        font-size:10.0pt;
        font-family:"Cambria","serif";
        color:black;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle23
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="NO-BOK" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Hi Jeremy <o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">I think this proposal clarifies the approved domain validation methods and describes how to implement most of the methods.
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">However, the method described in 3.2.2.4.10 TLS Using a Random Number is incomplete according to my understanding. Compared to the other methods, this method does not describe how to ensure that
 the actual FQDN is controlled by the applicant. I do not find any link between the FQDN and the Certificate and/or TLS connection used to verify the Applicant$B!G(Bs control (i.e. similar to the Authorization Domain Name acting as a link for some of the other methods).
 And is the <i>TLS with Server Name Indication</i> validation method as defined in the ACME specification meant to be covered by this method?<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">According to section 3.2.2.4.5 Domain Authorization Document, the Domain Authorization Document MUST substantiate that the communication came from the Domain Contact (could be the technical or administrative
 contact). However, in the definition of Domain Authorization Document, this is provided by a Domain Name Registrar or the Domain Name Registrant. This should be consistent.
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">And some minor typos; The reference to Section 3.3.1 in 3.2.2.4 should be changed to Section 4.2.1 – ref ballot 168. The last sentence in Section 3.2.2.4.4. is incomplete (should be equal to the
 same sentence in 3.2.2.4.2). And there is a misplaced $B!F(B;or$B!G(B at the end of Section 3.2.2.4.5. In the definition of Domain Contact, the term $B!F(Badministrative contract$B!G(B should be $B!F(Badministrative contact$B!G(B.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Regards<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Mads<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">
<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>]
<b>On Behalf Of </b>Jeremy Rowley<br>
<b>Sent:</b> 26. april 2016 23:40<br>
<b>To:</b> <a href="mailto:public@cabforum.org">public@cabforum.org</a><br>
<b>Subject:</b> [cabfpub] Pre-Ballot 169: Revised Validation Requirements<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US">Below (and attached) are the revised validation requirements. I$B!G(Bm looking for two endorsers.<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US">------<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US">Ballot 169: Revised Validation Requirements.<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US">The </span><span lang="EN-US" style="font-family:"Times New Roman","serif"">following motion has been proposed by Jeremy Rowley of DigiCert and ______________ of __________ and _________  of ______________:<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US" style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Background:<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US" style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">The primary purpose of this change is to replace Domain Validation item 7 "Using any other method of confirmation which has at least the same
 level of assurance as those methods previously described" with a specific list of the approved domain validation methods (including new methods proposed by Members).  This ballot also tightens up and clarifies the existing Domain Validation methods 1 through
 6.  This revised BR 3.2.2.4 describes the methods that CAs may use to confirm domain ownership or control.  Other validation methods can be added in the future.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">The Validation Working Group believes the domain validation rules should follow the current BR 3.2.2.4 structure as much as possible so the changes
 are easy to understand, be worded as simply and clearly as possible so as to be easily implemented by CAs worldwide, and should avoid unnecessary complications or additional requirements that don$B!G(Bt address with a realistic security threat.  If a Forum Member
 wants to add any new requirements to these validation methods should be added, the Validation Working Group would prefer that the new requirements be proposed and discussed by separate ballot.<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US" style="font-family:"Times New Roman","serif"">-- MOTION BEGINS --<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US" style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Effective Date: All CAs, and Delegated Third Parties, shall use only the methods in this ballot effective 6 months from ballot approval.<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US">Amendments:<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Amendments:<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="2160" style="width:1620.0pt;border-collapse:collapse">
<tbody>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<b><span style="font-family:"Times New Roman","serif""><o:p> </o:p></span></b></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border:solid black 1.0pt;border-left:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<b><span style="font-family:"Times New Roman","serif"">CURRENT BRs<o:p></o:p></span></b></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border:solid black 1.0pt;border-left:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<b><span style="font-family:"Times New Roman","serif"">REVISED TEXT<o:p></o:p></span></b></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">A<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">3.2.2.4. Authorization by Domain Name Registrant
<o:p></o:p></span></b></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt;page-break-after:avoid"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">3.2.2.4.  Validation of Domain Authorization or Control</span></b><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">B<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">For each Fully</span><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span><span lang="EN-US" style="font-family:"Times New Roman","serif"">Qualified
 Domain Name listed in a Certificate, the CA SHALL confirm that, as of the date the Certificate was issued, the Applicant (or the Applicant$B!G(Bs Parent Company, Subsidiary Company, or Affiliate, collectively referred to as $B!H(BApplicant$B!I(B for the purposes of this
 section) either is the Domain Name Registrant or has control over the FQDN by: </span>
<span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">This section defines the permitted processes and procedures for validating the Applicant$B!G(Bs ownership or control of the domain. 
<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">The CA SHALL confirm that, as of the date the Certificate issues, either the CA or a Delegated Third</span><span lang="EN-US" style="font-family:"Cambria","serif"">
 Party has validated each Fully-Qualified Domain Name (FQDN) listed in the Certificate using at least one of the methods listed below. 
<o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:10.0pt;line-height:105%">
<span lang="EN-US" style="font-family:"Cambria","serif"">Completed confirmations of Applicant authority may be valid for the issuance of multiple certificates over time.  In all cases, the confirmation must have been initiated within the time period specified
 in the relevant requirement (such as Section 3.3.1 of this document) prior to certificate issuance. For purposes of domain validation, the term Applicant includes the Applicant$B!G(Bs Parent Company</span><span lang="EN-US" style="font-family:"Times New Roman","serif"">,
 Subsidiary Company, or Affiliate.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">C<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">1. Confirming the Applicant as the Domain Name Registrant directly with the Domain Name Registrar;
<o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">3.2.2.4.1</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">.
<b>Validating the Applicant as a Domain Contact</b>. <o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Confirming the Applicant's control over the FQDN by validating the Applicant is the Domain Contact directly with the Domain Name Registrar. This
 method may only be used if:</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:18.5pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">(a) The CA authenticates the Applicant$B!G(Bs identity under BR Section 3.2.2.1 and the authority of the Applicant Representative under BR Section 3.2.5, OR
<o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:18.5pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">(b) The CA authenticates the Applicant$B!G(Bs identity under EV Guidelines Section 11.2 and the agency of the Certificate Approver under EV Guidelines Section 11.8; OR<o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:18.5pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">(c) The CA is also the Domain Name Registrar, or an Affiliate of the Registrar, of the Base Domain Name and directly confirms that the Applicant is the Domain Contact.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">D<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">2. Communicating directly with the Domain Name Registrant using an address, email, or telephone number provided by the Domain Name Registrar;
<o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">3.2.2.4.2</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">.
<b>Email, Fax, SMS, or Postal Mail to Domain Contact</b><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Confirming the Applicant$B!G(Bs control over the FQDN by sending a Random Value via email, fax, SMS, or postal mail and then receiving a confirming
 response utilizing the Random Value. The Random Value MUST be sent to an email address, fax/SMS number, or postal mail address identified as a Domain Contact.
<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Each email, fax, SMS, or postal mail MAY confirm control of multiple Authorization Domain Names.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">The CA or Delegated Third Party MAY send the email, fax, SMS, or postal mail identified under this section to more than one recipient provided
 that every recipient is identified by the Domain Name Registrar as representing the Domain Name Registrant for every FQDN being verified using the email, fax, SMS, or postal mail.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">The Random Value SHALL be unique in each email, fax, SMS, or postal mail.
<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">The CA or Delegated Third Party MAY resend the email, fax, SMS, or postal mail in its entirety, including re-use of the Random Value, provided
 that the communication$B!G(Bs entire contents and recipient(s) remain unchanged.  <o:p>
</o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">The Random Value SHALL remain valid for use in a confirming response for no more than 30 days from its creation. The CPS MAY specify a shorter
 validity period for Random Values, in which case the CA MUST follow its CPS.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">3.2.2.4.3.</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">
<b>Phone Contact with Domain Contact</b><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Confirming the Applicant$B!G(Bs control over the requested FQDN by calling the Domain Name Registrant's phone number and obtaining a response confirming
 the Applicant's request for validation of the FQDN. The CA or Delegated Third Party MUST place the call to a phone number identified by the Domain Name Registrar as the Domain Contact.
</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Each phone call SHALL be made to a single number and MAY confirm control of multiple FQDNs, provided that the phone number is identified by the
 Domain Registrar as a valid contact method for every Base Domain Name being verified using the phone call.
<u> </u></span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">E<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">3. Communicating directly with the Domain Name Registrant using the contact information listed in the WHOIS record$B!G(Bs $B!H(Bregistrant$B!I(B, $B!H(Btechnical$B!I(B,
 or $B!H(Badministrative$B!I(B field;<o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">This has been included in item 2 above<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif";background:yellow"><o:p> </o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">F<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">4. Communicating with the Domain$B!G(Bs administrator using an email address created by pre</span><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span><span lang="EN-US" style="font-family:"Times New Roman","serif"">pending
 $B!F(Badmin$B!G(B, $B!F(Badministrator$B!G(B, $B!F(Bwebmaster$B!G(B, $B!F(Bhostmaster$B!G(B, or $B!F(Bpostmaster$B!G(B in the local part, followed by the at</span><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span><span lang="EN-US" style="font-family:"Times New Roman","serif"">sign ($B!H(B@$B!I(B),
 followed by the Domain Name, which may be formed by pruning zero or more components from the requested FQDN;</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-indent:-.9pt">
<b><span lang="EN-US" style="font-family:"Times New Roman","serif"">3.2.2.4.</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">4.
<b>Constructed Email to Domain Contact</b><o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-indent:-.9pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">Confirm the Applicant$B!G(Bs control over the requested FQDN by (i) sending an email to one or more addresses created by using $B!F(Badmin$B!G(B, $B!F(Badministrator$B!G(B, $B!F(Bwebmaster$B!G(B, $B!F(Bhostmaster$B!G(B, or $B!F(Bpostmaster$B!G(B as
 the local part, followed by the at-sign ($B!H(B@$B!I(B), followed by an Authorization Domain Name, (ii) including a Random Value in the email, and (iii) receiving a confirming response utilizing the Random Value.
</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-indent:-.9pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">Each email MAY confirm control of multiple FQDNs, provided the Authorization Domain Name used in the email is an Authorization Domain Name for each FQDN being confirmed<o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-indent:-.9pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">The Random Value SHALL be unique in each email.<o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-indent:-.9pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">The email MAY be re-sent in its entirety, including the re-use of the Random Value, provided that its entire contents and recipient SHALL remain unchanged. 
<o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-indent:-.9pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">The Random Value SHALL remain valid for use in a confirming response for no more than 30 days from its creation. The CPS MAY specify a shorter validity period for Random Values, in which case
 the CA.<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">G<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">5. Relying upon a Domain Authorization Document;<o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">3.2.2.4.</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">5.
<b>Domain Authorization Document</b><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Confirming the Applicant$B!G(Bs control over the requested FQDN by relying upon the attestation to the authority of the Applicant to request a Certificate
 contained in a Domain Authorization Document. The Domain Authorization Document MUST substantiate that the communication came from the Domain Contact.  The CA MUST verify that the Domain Authorization Document was either (i) dated on or after the date of the
 domain validation request or (ii) that the WHOIS data has not materially changed since a previously provided Domain Authorization Document for the Domain Name Space; or</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">H<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">6. Having the Applicant demonstrate practical control over the FQDN by making an agreed</span><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span><span lang="EN-US" style="font-family:"Times New Roman","serif"">upon
 change to information found on an online Web page identified by a uniform resource identifier containing the FQDN; or</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="mso-margin-top-alt:2.0pt;margin-right:0cm;margin-bottom:2.0pt;margin-left:3.6pt;text-align:justify;text-justify:inter-ideograph;text-indent:-.9pt">
<b><span lang="EN-US" style="font-family:"Times New Roman","serif"">3.2.2.4.6.</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">
<b>Agreed-Upon Change to Website</b><o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:2.0pt;margin-right:0cm;margin-bottom:2.0pt;margin-left:3.6pt;text-align:justify;text-justify:inter-ideograph;text-indent:-.9pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">Confirming the Applicant's control over the requested FQDN by confirming the presence of a Random Value or Request Token (contained in the content of a file or on a web page in the form of a meta
 tag) under the "/.well-known/pki-validation" directory, or another path registered with IANA for the purpose of Domain Validation, on the Authorization Domain Name that can be validated over an Authorized Port.<u>
</u></span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:2.0pt;margin-right:0cm;margin-bottom:2.0pt;margin-left:13.4pt;text-indent:-10.7pt">
<u><span lang="EN-US" style="font-family:"Times New Roman","serif""><o:p><span style="text-decoration:none"> </span></o:p></span></u></p>
<p class="MsoNormal" style="mso-margin-top-alt:2.0pt;margin-right:0cm;margin-bottom:2.0pt;margin-left:1.7pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">If a Random Value is used, the CA or Delegated Third Party SHALL provide a Random Value unique to the certificate request and SHALL not use the Random Value after the longer of (i) 30 days or
 (ii) if the Applicant submitted the certificate request, the timeframe permitted for reuse of validated information relevant to the certificate (such as in Section 3.3.1 of these Guidelines or Section 11.14.3 of the EV Guidelines)
<o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:2.0pt;margin-right:0cm;margin-bottom:2.0pt;margin-left:13.4pt;text-indent:-10.7pt">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">  </span><span style="font-family:"Times New Roman","serif"">.</span><o:p></o:p></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">I<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">7. Using any other method of confirmation, provided that the CA maintains documented evidence that the method of confirmation establishes that
 the Applicant is the Domain Name Registrant or has control over the FQDN to at least the same level of assurance as those methods previously described.
</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-align:justify;text-justify:inter-ideograph;text-indent:-.9pt">
<span style="font-family:"Times New Roman","serif"">[Deleted]</span><o:p></o:p></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
J<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:13.4pt;text-indent:-10.7pt">
<b><span lang="EN-US">3.2.2.4.</span></b><span lang="EN-US">7. <b>DNS Change</b><o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:2.85pt;text-indent:-.15pt">
<span lang="EN-US">Confirming the Applicant's control over the requested FQDN by confirming the presence of a Random Value or Request Token in a DNS TXT or CAA record for an Authorization Domain Name or an Authorization Domain Name that is prefixed with a label
 that begins with an underscore character.<o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:2.85pt;text-align:justify;text-justify:inter-ideograph;text-indent:-.15pt">
<span lang="EN-US">If a Random Value is used, the CA or Delegated Third Party SHALL provide a Random Value unique to the certificate request and SHALL not use the Random Value after (i) 30 days or (ii) if the Applicant submitted the certificate request, the
 timeframe permitted for reuse of validated information relevant to the certificate (such as in Section 3.3.1 of these Guidelines or Section 11.14.3 of the EV Guidelines). 
<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
K<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-align:justify;text-justify:inter-ideograph;text-indent:-.9pt">
<b><span lang="EN-US">3.2.2.4.8</span></b><span lang="EN-US">. <b>IP Address</b><o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-align:justify;text-justify:inter-ideograph;text-indent:-.9pt">
<span lang="EN-US">Confirming the Applicant's control over the requested FQDN by confirming that the Applicant controls an IP address returned from a DNS lookup for A or AAAA records for the FQDN in accordance with section 3.2.2.5.<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
L<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-align:justify;text-justify:inter-ideograph;text-indent:-.9pt">
<b><span lang="EN-US">3.2.2.4.9</span></b><span lang="EN-US">. <b>Test Certificate</b><o:p></o:p></span></p>
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-align:justify;text-justify:inter-ideograph;text-indent:-.9pt">
<span lang="EN-US">Confirming the Applicant's control over the requested FQDN by confirming the presence on the Authorization Domain Name of a non-expired Test Certificate issue by the CA and which is accessible by the CA via TLS over an Authorized Port for
 the purpose of issuing a Certificate with the same Public Key as in the Test Certificate.
<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span lang="EN-US"><o:p> </o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US">3.2.2.4.10</span></b><span lang="EN-US">.
<b>TLS Using a Random Number</b><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US">Confirming the Applicant's control over the requested FQDN by confirming the presence of a Random Value within a Certificate which is accessible by the CA via TLS over an Authorized Port.<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">M<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Note: For purposes of determining the appropriate domain name level or Domain Namespace, the registerable Domain Name is the second</span><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span><span lang="EN-US" style="font-family:"Times New Roman","serif"">level
 domain for generic top</span><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span><span lang="EN-US" style="font-family:"Times New Roman","serif"">level domains (gTLD) such as .com, .net, or .org, or, if the Fully Qualified Domain Name contains
 a 2 letter Country Code Top</span><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span><span lang="EN-US" style="font-family:"Times New Roman","serif"">Level Domain (ccTLD), then the domain level is whatever is allowed for registration according
 to the rules of that ccTLD. </span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:3.6pt;text-align:justify;text-justify:inter-ideograph">
<span style="font-family:"Times New Roman","serif"">[Deleted]<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">N<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">If the CA relies upon a Domain Authorization Document to confirm the Applicant$B!G(Bs control over a FQDN, then the Domain Authorization Document MUST
 substantiate that the communication came from either the Domain Name Registrant (including any private, anonymous, or proxy registration service) or the Domain Name Registrar listed in the WHOIS. The CA MUST verify that the Domain Authorization Document was
 either (i) dated on or after the certificate request date or (ii) used by the CA to verify a previously issued certificate and that the Domain Name$B!G(Bs WHOIS record has not been modified since the previous certificate$B!G(Bs issuance.
<o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span style="font-family:"Times New Roman","serif"">[Deleted]<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><span style="font-family:"Times New Roman","serif";background:yellow"><o:p> </o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt;page-break-after:avoid"><b><span style="font-family:"Times New Roman","serif"">BR 1.6.1 - DEFINITIONS<o:p></o:p></span></b></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span style="font-family:"Times New Roman","serif"">BR 1.6.1 - DEFINITIONS</span></b><o:p></o:p></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">O<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Applicant:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">The natural person or Legal Entity that applies for (or seeks renewal of) a Certificate. Once the Certificate issues, the Applicant is referred to as the Subscriber. For Certificates
 issued to devices, the Applicant is the entity that controls or operates the device named in the Certificate, even if the device is sending the actual certificate request.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Applicant:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">The natural person or Legal Entity that applies for (or seeks renewal of) a Certificate. Once the Certificate issues, the Applicant is referred to as the Subscriber. For Certificates
 issued to devices, the Applicant is the entity that controls or operates the device named in the Certificate, even if the device is sending the actual certificate request.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
P<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoPlainText" style="margin-bottom:10.0pt;line-height:105%"><b><span lang="EN-US">Authorization Domain Name</span></b><span lang="EN-US">: The Domain Name used to obtain authorization for certificate issuance for a given FQDN.  The CA may use the
 FQDN returned from a DNS CNAME lookup as the FQDN for the purposes of domain validation.  If the FQDN contains a wildcard character, then the CA MUST remove all wildcard labels from the left most portion of requested FQDN.  The CA may prune zero or more labels
 from left to right until encountering a Base Domain Name and may use any one of the intermediate values for the purpose of domain validation.<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
Q<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoPlainText" style="margin-bottom:10.0pt;line-height:105%"><b><span lang="EN-US">Authorized Port:
</span></b><span lang="EN-US">One of the following ports:  80 (http), 443 (http), 115 (sftp), 25 (smtp), 22 (ssh).<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
R<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoPlainText" style="margin-bottom:10.0pt;line-height:105%"><b><span lang="EN-US">Base Domain Name</span></b><span lang="EN-US">: The portion of an applied-for FQDN that is the first domain name node left of a registry-controlled or public suffix
 plus the registry-controlled or public suffix (e.g. $B!H(Bexample.co.uk$B!I(B or $B!H(Bexample.com$B!I(B).  For gTLDs, the domain
</span><a href="http://www.[gTLD"><span lang="EN-US">www.[gTLD</span></a><span lang="EN-US">] will be considered to be a Base Domain.<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">S<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Authorization Document</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">: Documentation provided by, or a
 CA$B!G(Bs documentation of a communication with, a Domain Name Registrar, the Domain Name Registrant, or the person or entity listed in WHOIS as the Domain Name Registrant (including any private, anonymous, or proxy registration service) attesting to the authority
 of an Applicant to request a Certificate for a specific Domain Namespace.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Authorization Document</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">: Documentation provided by, or a
 CA$B!G(Bs documentation of a communication with, a Domain Name Registrar, the Domain Name Registrant, or the person or entity listed in WHOIS as the Domain Name Registrant (including any private, anonymous, or proxy registration service) attesting to the authority
 of an Applicant to request a Certificate for a specific Domain Namespace.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US">Domain Contact:
</span></b><span lang="EN-US">The Domain Name Registrant, technical contact, or administrative contract (or the equivalent under a ccTLD) as listed in the WHOIS record of the Base Domain Name or in a DNS SOA record.
<b><o:p></o:p></b></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">T<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Name:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">The label assigned to a node in the Domain Name System.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Name:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">The label assigned to a node in the Domain Name System.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">U<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Namespace:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">The set of all possible Domain Names that are subordinate to a single node in the Domain Name System.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Namespace:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">The set of all possible Domain Names that are subordinate to a single node in the Domain Name System.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">V<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Name Registrant:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Sometimes referred to as the $B!H(Bowner$B!I(B of a Domain Name, but more properly the person(s) or entity(ies) registered with a Domain Name Registrar as having the right to control how a Domain
 Name is used, such as the natural person or Legal Entity that is listed as the $B!H(BRegistrant$B!I(B by WHOIS or the Domain Name Registrar.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Name Registrant:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Sometimes referred to as the $B!H(Bowner$B!I(B of a Domain Name, but more properly the person(s) or entity(ies) registered with a Domain Name Registrar as having the right to control how a Domain
 Name is used, such as the natural person or Legal Entity that is listed as the $B!H(BRegistrant$B!I(B by WHOIS or the Domain Name Registrar.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">W<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Name Registrar:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">A person or entity that registers Domain Names under the auspices of or by agreement with: (i) the Internet Corporation for Assigned Names and Numbers (ICANN), (ii) a national Domain
 Name authority/registry, or (iii) a Network Information Center (including their affiliates, contractors, delegates, successors, or assigns).</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Domain Name Registrar:
</span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">A person or entity that registers Domain Names under the auspices of or by agreement with: (i) the Internet Corporation for Assigned Names and Numbers (ICANN), (ii) a national Domain
 Name authority/registry, or (iii) a Network Information Center (including their affiliates, contractors, delegates, successors, or assigns).</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
<span style="font-family:"Times New Roman","serif"">X<o:p></o:p></span></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Fully</span></b><b><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span></b><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Qualified
 Domain Name: </span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">A Domain Name that includes the labels of all superior nodes in the Internet Domain Name System.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Fully</span></b><b><span lang="EN-US" style="font-family:"Cambria Math","serif"">$B!>(B</span></b><b><span lang="EN-US" style="font-family:"Times New Roman","serif"">Qualified
 Domain Name: </span></b><span lang="EN-US" style="font-family:"Times New Roman","serif"">A Domain Name that includes the labels of all superior nodes in the Internet Domain Name System.</span><span lang="EN-US"><o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
Y<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US">Random Value</span></b><span lang="EN-US">: A value specified by a CA to the Applicant that exhibits at least 112 bits of entropy.<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
Z<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US">Request Token</span></b><span lang="EN-US">: A value derived in a method specified by the CA which binds this demonstration of control to the certificate request. 
<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US">The Request Token SHALL incorporate the key used in the certificate request.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US">A Request Token MAY include a timestamp to indicate when it was created. 
<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US">A Request Token MAY include other information to ensure its uniqueness. 
<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US">A Request Token that includes a timestamp SHALL remain valid for no more than 30 days from the time of creation.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US">A Request Token that includes a timestamp SHALL be treated as invalid if its timestamp is in the future.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US">A Request Token that does not include a timestamp is valid for a single use and the CA SHALL NOT re-use it for a subsequent validation.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US">The binding SHALL use a digital signature algorithm or a cryptographic hash algorithm at least as strong as that to be used in signing the certificate request. 
<o:p></o:p></span></p>
</td>
</tr>
<tr style="page-break-inside:avoid">
<td width="30" valign="top" style="width:22.25pt;border:solid black 1.0pt;border-top:none;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" align="center" style="margin-bottom:10.0pt;text-align:center">
$B&8(B<o:p></o:p></p>
</td>
<td width="381" valign="top" style="width:285.4pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal">(added)<o:p></o:p></p>
</td>
<td width="454" valign="top" style="width:340.35pt;border-top:none;border-left:none;border-bottom:solid black 1.0pt;border-right:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt"><b><span lang="EN-US">Test Certificate</span></b><span lang="EN-US">:
<o:p></o:p></span></p>
<p class="MsoPlainText" style="line-height:105%"><span lang="EN-US">Test Certificate: A Certificate with a maximum validity period of 30 days and which i) includes a critical extension with the specified Test Certificate CABF OID, or ii) which chains to a root
 certificate not subject to these Requirements.<o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif""><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt"><span lang="EN-US" style="font-family:"Times New Roman","serif"">Add a footnote to Section 3.2.2.4:<o:p></o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="2160" style="width:1620.0pt;border-collapse:collapse">
<tbody>
<tr style="page-break-inside:avoid">
<td width="864" valign="top" style="width:648.0pt;border:solid black 1.0pt;padding:0cm 5.4pt 0cm 5.4pt">
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">Examples of Request Tokens include, but are not limited to:<o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:54.0pt;text-align:justify;text-justify:inter-ideograph;text-indent:-36.0pt;line-height:105%">
<span lang="EN-US" style="font-size:11.0pt;line-height:105%;font-family:"Times New Roman","serif"">i)</span><span lang="EN-US" style="font-size:7.0pt;line-height:105%;font-family:"Times New Roman","serif"">                
</span><span lang="EN-US" style="font-size:11.0pt;line-height:105%;font-family:"Times New Roman","serif"">a hash of the public key.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:54.0pt;text-align:justify;text-justify:inter-ideograph;text-indent:-36.0pt;line-height:105%">
<span lang="EN-US" style="font-size:11.0pt;line-height:105%;font-family:"Times New Roman","serif"">ii)</span><span lang="EN-US" style="font-size:7.0pt;line-height:105%;font-family:"Times New Roman","serif"">              
</span><span lang="EN-US" style="font-size:11.0pt;line-height:105%;font-family:"Times New Roman","serif"">a hash of the Subject Public Key Info [X.509]<o:p></o:p></span></p>
<p class="MsoListParagraph" style="mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:10.0pt;margin-left:54.0pt;text-align:justify;text-justify:inter-ideograph;text-indent:-36.0pt;line-height:105%">
<span lang="EN-US" style="font-size:11.0pt;line-height:105%;font-family:"Times New Roman","serif"">iii)</span><span lang="EN-US" style="font-size:7.0pt;line-height:105%;font-family:"Times New Roman","serif"">            
</span><span lang="EN-US" style="font-size:11.0pt;line-height:105%;font-family:"Times New Roman","serif"">a hash of a PKCS#10 CSR<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">Any of the above Request Tokens may also be concatenated with a timestamp or other data.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">If a CA wanted to always use a hash of a PKCS#10 CSR as a Request Token and did not want to incorporate a timestamp and did want to allow certificate key re-use then the applicant might use the
 challenge password in the creation of a CSR with OpenSSL to ensure uniqueness even if the subject and key are identical between subsequent requests.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">This simplistic shell command produces a Request Token which has a timestamp and a hash of a CSR.
<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">echo `date -u +%Y%m%d%H%M` `sha256sum <r2.csr` | sed "s/[ -]//g"<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">The script outputs:<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">201602251811c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:10.0pt;text-align:justify;text-justify:inter-ideograph">
<span lang="EN-US" style="font-family:"Times New Roman","serif"">The CA should define in its CPS (or in a document referenced from the CPS) the format of Request Tokens it accepts.
<o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoPlainText"><span lang="EN-US"> <o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US"> -- MOTION ENDS --<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US">The review period for this ballot shall commence at 1740 UTC on 29 April 2016, and will close at 2200 UTC on 6 May 2016. Unless the motion is withdrawn during the review period, the voting period will start immediately
 thereafter and will close at 2200 UTC on 13 May 2016. Votes must be cast by posting an on-list reply to this thread.<o:p></o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoPlainText"><span lang="EN-US">A vote in favor of the motion must indicate a clear 'yes' in the response. A vote against must indicate a clear 'no' in the response. A vote to abstain must indicate a clear 'abstain' in the response. Unclear responses
 will not be counted. The latest vote received from any representative of a voting member before the close of the voting period will be counted. Voting members are listed here:  <a href="https://cabforum.org/members/">https://cabforum.org/members/</a><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
</div>
</body>
</html>