<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;

        color:black;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;

        color:black;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";

        color:black;}

span.apple-converted-space

        {mso-style-name:apple-converted-space;}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;

        color:black;}

span.EmailStyle21

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">For OV, there are certain restraints that limit the likelihood that two Acme Corporations will exist in Portland, OR.  Oregon will allow only one Acme Corporation

 to be incorporated in the state (but a second Acme Corporation may exist in California and have an office in Portland, OR, so there could be two companies with the same name in Portland). 

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Likewise, trademark law can prevent a second company from using the same name as the first company in a locality if the second company is using the same name. 

 So there are some limits on having multiple organizations with the same name in the same jurisdiction.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">There really are no similar limitations on having multiple “Robert Smiths” in Portland, OR.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext"> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org]

<b>On Behalf Of </b>Adriano Santoni<br>

<b>Sent:</b> Wednesday, August 24, 2016 7:15 AM<br>

<b>To:</b> Erwann Abalea <Erwann.Abalea@docusign.com><br>

<b>Cc:</b> public@cabforum.org<br>

<b>Subject:</b> Re: [cabfpub] givenName and surname revived<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p><span style="font-family:"Calibri",sans-serif">You are right: the ambiguity is also present in the OV case, and I think it would be better to reduce it, somehow, for both OV and IV certs, while keeping the difference from EV certs.</span><o:p></o:p></p>

<p><span style="font-family:"Calibri",sans-serif">There can exist two or more John Smiths in the same city, or maybe even a dozen, each one owning a different domain, and it would be bad (to me) if they were to be issued IV certs that look identical in their

 Subject DNs. I suppose this is already happening. And the same holds for OV certs, I am perfectly aware. We are a small CA and have not been facing this kind of situation so far .... but if it was to occur to us, we would not issue certs with identical Subject

 DNs, even if allowed by the BRs. That would be "wrong", IMO. We would forcedly introduce some disambiguating attribute in the 2nd Subject DN (in compliance with the BRs), to differentiate them. This should be recommended or even mandated by the BRs.</span><o:p></o:p></p>

<p>I would like a requirement of this kind in the BRs: "the CA shall not issue certificates with identical subject DNs to different subscribers"... or something like that. Maybe this is already implied in the BRs, but I am not finding the paragraph corroborating

 it.<o:p></o:p></p>

<p>Adriano<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">Il 24/08/2016 15:47, Erwann Abalea ha scritto:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal">We’re in the review period, feel free to comment :) <o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">In my point of view, there’s a confusion here between an identity (givenName+surName) and an individual (a physical person).<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">An identity can be claimed by several individuals, therefore it’s ambiguous. Likewise, an individual can have several identities, and these identities can change over the individual’s life.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">BR only requires CAs to assert that an Applicant is right when claiming an identity and address. In the final certificate, you’ll only find the claimed identity and address, not the exact Applicant.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Looking at OV certificates, this ambiguity is already there. O can contain a company name or a brand name; a company name can be used by several distinct companies (even at the same place); a brand name registered under one jurisdiction

 belongs to a single company, but the same brand name can be registered in different jurisdictions and can also be used by different companies (with agreements). Identity and address verification can be performed using different documents, adding another layer

 of flexibility/complexity.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal">Cordialement,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Erwann Abalea<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">Le 24 août 2016 à 14:10, Adriano Santoni <<a href="mailto:adriano.santoni@staff.aruba.it">adriano.santoni@staff.aruba.it</a>> a écrit :<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">Pardon me for commenting on this topic when the ballot was already initiated.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">However, I was not implying that the BRs currently require extra attributes in the Subject DN, nor am I proposing to modify the BRs

 at this stage.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">I was just arguing that givenName+surname is too vague as an identity, IMO, even if referred to a specific country and locality.

</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">That is, it does not seem to me an effective "equivalent" of the organizationName that is requested for OV certs.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-family:"Calibri",sans-serif">I know that the BRs have been that way for long, so I am aware that my is a bit untimely.</span><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">Il 24/08/2016 13:07, Erwann Abalea ha scritto:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">Bonjour,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">givenName and surName are sufficient to specify an identity. More than one person may share this identity, but to me, BR don’t tend to distinguish them. There’s nothing in BR requiring CAs to generate certificates with canonical and non-ambiguous

 names. The non-ambiguity goal is achieved by following EVG only.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Given your example IV certificate, you’ll have givenName=John, surName=Doe, and also a country and either a localityName or a stateOrProvinceName. So you’ll know that this website belongs to someone named John Doe living in a specific city

 or state in this country, but nothing more.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">If you want to follow ETSI 319412-1 rules and insert a serialNumber attribute to avoid name collisions, feel free, it’s not forbidden.<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">Cordialement,<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">Erwann Abalea<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">Le 24 août 2016 à 12:08, Adriano Santoni <<a href="mailto:adriano.santoni@staff.aruba.it">adriano.santoni@staff.aruba.it</a>> a écrit :<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px">

<span style="font-size:9.0pt;font-family:"Calibri",sans-serif">But givenName and surname are not sufficient to specify an identity. How many Robert Smiths exist in UK/US/CA ? (or Mario Rossi in Italy, as to that).</span><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif"><o:p></o:p></span></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;background:white;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px">

<span style="font-size:9.0pt;font-family:"Calibri",sans-serif">If I would like to know who's behind a web site whose SSL cert contains giveName=John, surname=Doe, I am none the wiser.</span><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif"><o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif">Il 23/08/2016 20:02, Bruce Morton ha scritto:<o:p></o:p></span></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt;orphans: auto;text-align:start;widows: auto;-webkit-text-stroke-width: 0px;word-spacing:0px">

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">OK, thanks.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Bruce.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal" style="background:white"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Jeremy

 Rowley [<a href="mailto:jeremy.rowley@digicert.com"><span style="color:#954F72">mailto:jeremy.rowley@digicert.com</span></a>]<span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Monday, August 22, 2016 6:16 PM<br>

<b>To:</b><span class="apple-converted-space"> </span>Bruce Morton<span class="apple-converted-space"> </span><a href="mailto:Bruce.Morton@entrust.com"><span style="color:#954F72"><Bruce.Morton@entrust.com></span></a>;<span class="apple-converted-space"> </span><a href="mailto:public@cabforum.org"><span style="color:#954F72">public@cabforum.org</span></a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>RE: givenName and surname revived<o:p></o:p></span></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">What do you mean by definition? I consider IV v. OV well defined because of the meaning associated with the OID inserted into the cert. Section 7.1.6.1

 states “<span class="apple-converted-space"> </span>{joint‐iso‐itu‐t(2) international‐organizations(23) ca‐browser‐forum(140) certificate‐policies(1) baseline‐requirements(2) individual‐validated(3)} (2.23.140.1.2.3), if the Certificate complies with these

 Requirements and includes Subject Identity Information that is verified in accordance with Section 3.2.3.” Section 3.2.3 is verification of an individual whereas Section 3.2.2 is verification of an organization.  <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Jeremy<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><a name="_MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span></a><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal" style="background:white"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Bruce

 Morton [<a href="mailto:Bruce.Morton@entrust.com"><span style="color:#954F72">mailto:Bruce.Morton@entrust.com</span></a>]<span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Monday, August 22, 2016 6:11 AM<br>

<b>To:</b><span class="apple-converted-space"> </span>Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com"><span style="color:#954F72">jeremy.rowley@digicert.com</span></a>>;<span class="apple-converted-space"> </span><a href="mailto:public@cabforum.org"><span style="color:#954F72">public@cabforum.org</span></a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>RE: givenName and surname revived<o:p></o:p></span></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Hi Jeremy,</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">My apologies, but can you clarify the section where IV certs are well defined? I see that “individual-validated” is stated twice in sections

 1.2 and 7.1.6.1 (the same for domain-validated and organization-validated), but I can’t find the definition.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Thanks, Bruce.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal" style="background:white"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Jeremy

 Rowley [<a href="mailto:jeremy.rowley@digicert.com"><span style="color:#954F72">mailto:jeremy.rowley@digicert.com</span></a>]<span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Saturday, August 20, 2016 10:41 AM<br>

<b>To:</b><span class="apple-converted-space"> </span>Bruce Morton <<a href="mailto:Bruce.Morton@entrust.com"><span style="color:#954F72">Bruce.Morton@entrust.com</span></a>>;<span class="apple-converted-space"> </span><a href="mailto:public@cabforum.org"><span style="color:#954F72">public@cabforum.org</span></a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>RE: givenName and surname revived<o:p></o:p></span></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Hey Bruce – IV certs are well defined. The goal of the ballot isn’t to further define IV certs but to permit use of the givenName and surname fields

 for IV certs. giveName and surname in the org field would be allowed. They’d still use the IV OIDs as they were validated under the IV section of the CP.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal" style="background:white"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Bruce

 Morton [<a href="mailto:Bruce.Morton@entrust.com"><span style="color:#954F72">mailto:Bruce.Morton@entrust.com</span></a>]<span class="apple-converted-space"> </span><br>

<b>Sent:</b><span class="apple-converted-space"> </span>Friday, August 19, 2016 6:41 AM<br>

<b>To:</b><span class="apple-converted-space"> </span>Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com"><span style="color:#954F72">jeremy.rowley@digicert.com</span></a>>;<span class="apple-converted-space"> </span><a href="mailto:public@cabforum.org"><span style="color:#954F72">public@cabforum.org</span></a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>RE: givenName and surname revived<o:p></o:p></span></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Hi Jeremy,</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Would like some clarification. On the call yesterday, it was said that IV certificates were not defined, so this ballot will help resolve

 this.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Per 7.1.4.2.2 b, the current BRs allow givenName and surname to be included in the organizationName field. Will this still be allowed?

 If so, what would the certificate type be? OV or IV? I would prefer that these be OV certificates.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">If we do make the changes and the CAs have to meet Microsoft’s requirement to put a DV, OV, or IV certificate policy in the certificate,

 I think we should clearly define each certificate type.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Also, the stateOrProvinceName field appears to currently have an issue as it does not have any language to address the case where there

 is no state or province in the address.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Thanks, Bruce.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<div>

<p class="MsoNormal" style="background:white"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><a href="mailto:public-bounces@cabforum.org"><span style="color:#954F72">public-bounces@cabforum.org</span></a><span class="apple-converted-space"> </span>[<a href="mailto:public-bounces@cabforum.org"><span style="color:#954F72">mailto:public-bounces@cabforum.org</span></a>]<span class="apple-converted-space"> </span><b>On

 Behalf Of<span class="apple-converted-space"> </span></b>Jeremy Rowley<br>

<b>Sent:</b><span class="apple-converted-space"> </span>Thursday, August 18, 2016 12:09 PM<br>

<b>To:</b><span class="apple-converted-space"> </span><a href="mailto:public@cabforum.org"><span style="color:#954F72">public@cabforum.org</span></a><br>

<b>Subject:</b><span class="apple-converted-space"> </span>[cabfpub] givenName and surname revived<o:p></o:p></span></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Looking for two endorsers for the following revisions the baseline requirements adding support for givenName and surname:<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Insert a new (C) under 7.1.4.2.2, renumbering all subsequent bullets.<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">c.<span class="apple-converted-space"> </span><b>Certificate Field</b>: subject:givenName (2.5.4.42) and subject:surname (2.5.4.4)</span></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><b><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Optional.<span class="apple-converted-space"> </span></span></u></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><b><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Contents:  </span></u></b><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">If present, the subject:givenName field and subject:surname

 field MUST contain an natural person Subject’s name as verified under Section 3.2.3. A Certificate containing a subject:givenName field or subject:surname field MUST contain the (2.23.140.1.2.3) Certificate Policy OID</span></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">d.</span></u><span class="apple-converted-space"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> </span></span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Certificate

 Field: Number and street: subject:streetAddress (OID: 2.5.4.9)<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">    Optional if the subject:organizationName field, subject: givenName field, or subject:surname field are<span class="apple-converted-space"> <s>is</s>present.

 Prohibited if the subject:organizationName field<u>, subject:givenName, and subject:surname field are</u><span class="apple-converted-space"><s> </s></span><s>is</s><span class="apple-converted-space"> </span>absent.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">  <span class="apple-converted-space"> </span>Contents: If present, the subject:streetAddress field MUST contain the Subject’s street address information

 as verified under Section 3.2.2.1.<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">e</span></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">. Certificate Field: subject:localityName (OID: 2.5.4.7)<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Required if the subject:organizationName field,<span class="apple-converted-space"> </span><u>subject:givenName field, or subject:surname field are</u><span class="apple-converted-space"> </span><s>is</s>present

 and the subject:stateOrProvinceName field is absent. Optional if the<u>subject:stateOrProvinceName field and the subject:organizationName field, subject:givenName field, or subject:surname  </u>field are present. Prohibited if the subject:organizationName

 field,<span class="apple-converted-space"> </span><u>subject:givenName, and subject:surname field are<span class="apple-converted-space"> </span></u><s>is</s><span class="apple-converted-space"> </span>absent.<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Contents: If present, the subject:localityName field MUST contain the Subject’s locality information as verified under Section 3.2.2.1. If the subject:countryName

 field specifies the ISO 3166‐1 user‐assigned code of XX in accordance with Section 7.1.4.2.2(g), the localityName field MAY contain the Subject’s locality and/or state or province information as verified under Section 3.2.2.1.<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">f</span></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">. Certificate Field: subject:stateOrProvinceName (OID: 2.5.4.8)<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Required if the subject:organizationName field field,<span class="apple-converted-space"> </span><u>subject:givenName field, or subject:surname field

 are</u><s>is<span class="apple-converted-space"> </span></s>present and<span class="apple-converted-space"> </span><u>the<span class="apple-converted-space"> </span></u>subject:localityName field is absent. Optional if the<span class="apple-converted-space"> </span><u>subject:localityName

 field and the subject:organizationName field, the subject:givenName field, or subject:surname field</u><span class="apple-converted-space"> </span>are present. Prohibited if the subject:organizationName field,<span class="apple-converted-space"> </span><u>subject:givenName

 field , or subject:surname field<span class="apple-converted-space"> </span></u>are<span class="apple-converted-space"><s> </s></span><s>is</s>absent. Contents: If present, the subject:stateOrProvinceName field MUST contain the Subject’s state or province

 information as verified under Section 3.2.2.1. If the subject:countryName field specifies the ISO 3166‐1 user‐assigned code of XX in accordance with Section 7.1.4.2.2(g), the subject:stateOrProvinceName field MAY contain the full name of the Subject’s country

 information as verified under Section 3.2.2.1.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">g</span></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">. Certificate Field: subject:postalCode (OID: 2.5.4.17)<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Optional if the subject:organizationName,<span class="apple-converted-space"> subject:givenName field, or subject:surname<span class="apple-converted-space"> fields<span class="apple-converted-space"> are<span class="apple-converted-space"> <s>is</s>present.

 Prohibited if the subject:organizationName field,<span class="apple-converted-space"> </span><u>subject:givenName field, or subject:surname field are<span class="apple-converted-space"> </span></u><s>is</s><span class="apple-converted-space"> </span>absent.<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Contents: If present, the subject:postalCode field MUST contain the Subject’s zip or postal information as verified under Section 3.2.2.1.<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">h</span></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">. Certificate Field: subject:countryName (OID: 2.5.4.6)<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Required if the subject:organizationName field,<span class="apple-converted-space"> </span><u>subject:givenName , or subject:surname field</u><span class="apple-converted-space"> </span>is

 present. Optional if the subject:organizationName field,<span class="apple-converted-space"> </span><u>subject:givenName field</u>, and  <u>subject:surname field are</u><span class="apple-converted-space"> </span><s>is</s>absent.<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Contents: If the subject:organizationName field is present, the subject:countryName MUST contain the two‐letter ISO 3166‐1 country code associated

 with the location of the Subject verified under Section 3.2.2.1. If the subject:organizationName,<span class="apple-converted-space"> </span><u>subject:givenName field, and subject:surname</u><span class="apple-converted-space"> </span> field<span class="apple-converted-space"> </span><u>are</u><span class="apple-converted-space"> </span><s> is<span class="apple-converted-space"> </span></s>absent,

 the subject:countryName field MAY contain the two‐letter ISO 3166‐1 country code associated with the Subject as verified in accordance with Section 3.2.2.3. If a Country is not represented by an official ISO 3166‐1 country code, the CA MAY specify the ISO

 3166‐1 user‐assigned code of XX indicating that an official ISO 3166‐1 alpha‐2 code has not been assigned.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">i</span></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">. Certificate Field: subject:organizationalUnitName<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Optional.<span class="apple-converted-space"> </span><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Contents:<span class="apple-converted-space"> </span></span></u><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">The CA SHALL implement

 a process that prevents an OU attribute from including a name, DBA, tradename, trademark, address, location, or other text that refers to a specific natural person or Legal Entity unless the CA has verified this information in accordance with Section 3.2 and

 the Certificate also contains subject:organizationName,<span class="apple-converted-space"> </span><u>subject:givenName, subject:surname,<span class="apple-converted-space"> </span></u>subject:localityName, and subject:countryName attributes, also verified

 in accordance with Section 3.2.2.1.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">7.1.6.1<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">…<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">If the Certificate asserts the policy identifier of 2.23.140.1.2.1, then it MUST NOT include organizationName,<span class="apple-converted-space"> </span><u>givenName,

 surname,</u><span class="apple-converted-space"> </span>streetAddress, localityName, stateOrProvinceName, or postalCode in the Subject field.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">…<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>

</div>

<p class="MsoNormal" style="background:white"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif"><br>

<br>

<br>

<o:p></o:p></span></p>

<pre style="background:white">_______________________________________________<o:p></o:p></pre>

<pre style="background:white">Public mailing list<o:p></o:p></pre>

<pre style="background:white"><a href="mailto:Public@cabforum.org"><span style="color:#954F72">Public@cabforum.org</span></a><o:p></o:p></pre>

<pre style="background:white"><a href="https://cabforum.org/mailman/listinfo/public"><span style="color:#954F72">https://cabforum.org/mailman/listinfo/public</span></a><o:p></o:p></pre>

</blockquote>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal" style="background:white"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif">--<span class="apple-converted-space"> </span><o:p></o:p></span></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;background:white">

<span style="font-size:9.0pt">Cordiali saluti,<br>

<br>

Adriano Santoni<br>

ACTALIS S.p.A.<br>

(Aruba Group)<o:p></o:p></span></p>

</div>

<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif;background:white">_______________________________________________</span><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif"><br>

<span style="background:white">Public mailing list</span><br>

</span><a href="mailto:Public@cabforum.org"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif;color:#954F72;background:white">Public@cabforum.org</span></a><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif"><br>

</span><a href="https://cabforum.org/mailman/listinfo/public"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif;color:#954F72;background:white">https://cabforum.org/mailman/listinfo/public</span></a><o:p></o:p></p>

</div>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</blockquote>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">-- <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Cordiali saluti,<br>

<br>

Adriano Santoni<br>

ACTALIS S.p.A.<br>

(Aruba Group)<o:p></o:p></p>

</div>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</blockquote>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">-- <o:p></o:p></p>

<p>Cordiali saluti,<br>

<br>

Adriano Santoni<br>

ACTALIS S.p.A.<br>

(Aruba Group)<o:p></o:p></p>

</div>

</div>

</body>

</html>