
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 13, 2016 at 12:40 AM, Barreira Iglesias, Iñigo <span dir="ltr"><<a href="mailto:i-barreira@izenpe.eus" target="_blank">i-barreira@izenpe.eus</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="ES" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><br></p>

<div>

<p class="MsoNormal">Inigo,<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">I'm not sure how this is meaningfully different than how we handle EV audits, which root stores also require the BR audits.<u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Same here</span></p></div></div></div></div></blockquote><div><br></div><div>This doesn't answer the question, and I have no clue what you're trying to say.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="ES" link="blue" vlink="purple"><div><div>

<div><span class="">

<p class="MsoNormal">I've reviewed 411-1 and 411-2, and the outstanding question you didn't answer is what prevents a CA from getting audited under EVCP when getting a QCP-w audit.<u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

</span><p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">A CA can issue an EV when passes 411-1 under EVCP policy. To get a QCPw, the CA has to pass the 411-2</span></p></div></div></div></div></blockquote><div><br></div><div>That's not what I'm asking about.</div><div><br></div><div>To get QCP-w, a CA has to pass 411-2. Yes, 411-2 tries to incorporate by reference, where applicable, 411-1. What I'm specifically asking is if a CA has to get/pass 411-2, why can they not get audited, at the same time, to 411-1 under EVCP? What prevents this?</div><div><br></div><div>Under the WebTrust schemes, as practiced by root stores, a CA wishing to be audited under WebTrust for CAs also gets audited under WebTrust for BRs and WebTrust. That is, three audits. (The notion of an EV-only CA is not made by root stores that I'm aware of, since to issue EV they necessarily are trusted to issue TLS).</div><div><br></div><div>As a root store, there's zero interest in understanding or recognizing QCP-w. So if a CA wants to be recognized as EV, it would need to present a 411-1 EVCP audit. My understanding is that a CA getting a 411-2 QCPw audit should have no trouble getting a 411-1 EVCP audit, and then there's no ambiguity that the CA is conforming to 411-1 EVCP. Why doesn't that work? </div></div><br></div></div>