
<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    Dean and CABF members,<br>

    <br>

    Some of you may be aware - if nothing else through the<br>

    press coverage - that efforts have been stepped up to deal<br>

    with so-called robocalls that is more generally known<br>

    within the many industry communities involved as <br>

    anti-spoofing.<br>

    <br>

    Much of the work currently revolves around associating<br>

    X.509 certs with telephone numbers - in blocs or individually.<br>

    Central to this approach is the attached Internet Draft in<br>

    a group known as stir.  Although it is being treated as <br>

    "last call," concerns have been raised as to its suitability.<br>

    Indeed, the obvious question is why don't they simply<br>

    use the Forum's specification and a class of EVcert for<br>

    this purpose, including its OCSP provisions.  That <br>

    question hasn't been answered, and there is no known<br>

    collaboration with the CABF.<br>

    <br>

    Some of the statements in this draft are flat wrong,<br>

    such as that introduction statement that "...telephone <br>

    numbers have long been a part of the X.509...."  In addition,<br>

    the identity construct "Service Provider Identifier (SPID)"<br>

    is fuzzy at best and has no consistent global use.  Also<br>

    omitted is any treatment of Rec. ITU-T E.164 which is<br>

    the global telephone identifier number space to which <br>

    the certificates are being bound.<br>

    <br>

    Why should the CABF and its members care?  For the <br>

    CABF itself, that answer is that the EVcert specification<br>

    is best of breed, scales well, and has many years of<br>

    experience and evolution behind it.<br>

    <br>

    The OS/browser vendors should care because their <br>

    platforms,  tables, and apps will make use of the <br>

    stir certificates.  The CAs should care because the<br>

    provision of certificates globally for this purpose<br>

    is a major business opportunity that in many national<br>

    jurisdictions will be the subject of regulatory provisions.<br>

    <br>

    --tony<br>

    <br>

    <br>

    <br>

  </body>

</html>