<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 26, 2016 at 11:00 AM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_464836047334093425WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">I’m not sure if there is consensus on Virigina’s interpretation. We haven’t even had a straw poll to agree/disagree on the issue. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">That’s my interpretation more or less with one point. I don’t see a draft guideline that hasn’t completed the IPR as non-binding. The difference between a “draft guideline” and “final guideline” is purely an IPR semantic where a draft simply hasn’t undergone the exclusion notice period. This does nothing to affect the legitimacy of the ballot passed using the process described in the bylaws. The definition of a draft ballot is only that the IP status is unknown.</span></p></div></div></blockquote><div><br></div><div>The consequence of this interpretation is whether you expect auditors to have their criteria reflect DGs or FGs.</div><div><br></div><div>If OCSP Ballot 184 produces another DG, then I don't believe it's something we'd want to suggest auditors incorporate into their criteria, or use that to influence their opinions of finding, because effectively any member can produce a DG at any time. What's meaningful and matters is whether it's formally approved as an FG/FMG - which, in both interpretations, and as stated in the IPR policy, can only happen after the review period.</div><div><br></div><div>I think using terms like 'binding' and 'legitimacy' are perhaps going to distract from the issue - since binding is a property of root programs' expectations (and the associated audit criteria), and 'legitimacy' is a matter of following the Bylaws and IPR Policy.</div><div><br></div><div>As a concrete example of potential problems with this interpretation:</div><div>If a member produces a DG that says "Do whatever you want", should auditors incorporate that into their audit criteria?</div><div>  - If we say "yes", well, we're doomed</div><div>  - If we say "No, not until it's been affirmed by a Ballot", but do not wait until the completion of the Review Period, then its possible that auditors will incorporate IP-encumbered requirements within their audit criteria, and any CA that fails to license such technology may be at risk of receiving a qualified audit.</div><div><br></div><div>That's why I think, independent of Ballot -> Review or Review -> Ballot, the ability to incorporate into auditable criteria and guidance can only be done after the completion of both. If we're in agreement there, then we're back to the question of whether or not the combination can complete in sufficient time.</div><div><br></div><div>The only way to reduce the Review Period is to take a view that an OCSP Ballot 184 is an FMG, meaning 30 day review, since if it's a DG/FG, the review period is 60 days.</div><div><br></div><div>So in order to meet Wayne's need, without setting a dangerous precedent as explained with the example above, we'd have to interpret it as an FMG, but I believe the discussion to date does not support that interpretation, because there's no clear FG to be used as the input to OCSP Ballot 184.</div></div></div></div>