<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 16, 2016 at 1:02 AM, Barreira Iglesias, Iñigo <span dir="ltr"><<a href="mailto:i-barreira@izenpe.eus" target="_blank">i-barreira@izenpe.eus</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="ES" link="blue" vlink="purple">
<div>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Ryan,
<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">411-2 says that “all the requirements defined for EVCP in ETSI EN 319 411-1 shall apply for issuing QCP-w”, so, if you feel more comfortable admitting
 only 411-1, I see no issue but I still don´t understand why because if a TSP only wants to issue qualified certificates, and get his audit in 411-2 for QCPw (which means that all the requirements for EVCP defined in 411-1 applies), what are you going to do
 with these qualified certificates? Are you going to accept it or not? If not, why?</span></p></div></div></blockquote><div><br></div><div>No, it will not be accepted if not presented with a 411-1 audit.</div><div><br></div><div>As I tried to indicate several times, 411-2 is necessarily different than 411-1 - if they were the same, we wouldn't have 411-2!</div><div><br></div><div>Saying 411-2 requires 411-1 is like saying the Baseline Requirements requires RFC 5280 compliance - which it does, but then the BRs define exceptions for 5280 where it makes sense (e.g. non-critical name constraints). So we can't argue that the BRs are out-and-out identical to 5280, since there's conflict.</div><div><br></div><div>411-2's approach means that, as root programs, we'd have to be evaluating all changes to 411-1 to make sure they're reflecting the EVGs, but then ALSO check all changes to 411-2 to make sure no clause of 411-2 supersedes or overrides or conflicts with that of 411-1.</div><div><br></div><div>If a QCP-w cert doesn't bear the CA's EVCP OID (as audited to 411-1), then the QCP-w would be treated as DVCP, at best.</div></div></div></div>