<div dir="ltr">I strongly suggest that in "Step Three: Response", the document specify that when an Application Software Supplier grants a partial or full exception, it must grant it in a reply that CCs <a href="mailto:public@cabforum.org">public@cabforum.org</a>. <div><br></div><div>Otherwise, it will be very difficult for any interested party, including other CAs and Application Software Suppliers, to evaluate the impact and success of this process.<div><br></div><div>-- Eric</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 3, 2016 at 4:53 PM, Andrew R. Whalley <span dir="ltr"><<a href="mailto:awhalley@google.com" target="_blank">awhalley@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Greetings,<div><br></div><div>At the face to face meeting in Bilbao we heard there's still a need for new SHA-1 certs from some sectors, most notably the payment industry, to avoid outages of critical systems with real world impact.  We discussed if there was a way we might balance these cases against the vitally important need to ensure the security and safety of the public PKI.</div><div><br></div><div>Please take a look at the proposed procedure, attached.  It outlines a way for CAs to request an exceptional SHA-1 issuance, including details which would help with a risk management decision.  It's not a guaranty that any such issuance would be acceptable, but provides a more structured approach than what's already occurred this year, e.g. with worldpay.</div><div><br></div><div>I look forward to comments.</div><div><br></div><div>Cheers,</div><div><br></div><div>Andrew</div><div><br></div></div>
<br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br></div></div></div></div></div></div></div>
</div>