<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 25, 2016 at 2:20 PM, Rob Stradling <span dir="ltr"><<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">IINM, both Gerv and Ryan indicated (or at least strongly implied) that<br>
rigid construction was a prerequisite for their (Mozilla's and Google's)<br>
approval of TSYS's request.  Did I misread something?<br></blockquote><div><br></div><div>From <a href="https://cabforum.org/pipermail/public/2016-July/008096.html">https://cabforum.org/pipermail/public/2016-July/008096.html</a></div><div><br></div><div>"<span style="font-size:12.8px">Certificates whose contents are entirely predictable or in line with</span></div><span style="font-size:12.8px">precedent would also be acceptable; but it seemed like there were</span><br style="font-size:12.8px"><span style="font-size:12.8px">several questions about that floating around, and doing the serial</span><br style="font-size:12.8px"><span style="font-size:12.8px">numbers by strict construction makes them all moot. If you want to try</span><br style="font-size:12.8px"><span style="font-size:12.8px">dealing with all the questions about the contents instead, you are</span><br style="font-size:12.8px"><span style="font-size:12.8px">welcome to try."</span><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Also, I don't see the relevance of "strong consensus".  AIUI, there must<br>
be unanimous agreement.  If just one root program operator rejects<br>
TSYS's request, then you can't issue the SHA-1 certs.  Similarly, if<br>
just one root program operator says rigidly constructed serial numbers<br>
are required, then you can't use random serial numbers.</blockquote></div></div></div>