<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 9, 2016 at 11:06 AM, Peter Bowen <span dir="ltr"><<a href="mailto:pzb@amzn.com" target="_blank">pzb@amzn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><span class=""><div>Ryan,<br></div></span><div><br></div><div>If we adopt CAA hard-fail only, and it does become a problem, what is the path to correct, given the current WebTrust cycle?  At it stands, I expect it to take years to correct if it makes it into a WebTrust criteria set.</div></div></blockquote><div><br></div><div>Hasn't this been addressed every time we loosen requirements? This was discussed at the Scottsdale F2F, being that the auditors are following the activity in the Forum, and given that the CP/CPS of member CAs is required and defined to incorporate the latest BRs - and in the event of conflict, the BRs supersede.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>Even if we ignore WebTrust, what is the path to revert the change if evidence is shown it is causing harm?</div></div></blockquote><div><br></div><div>A ballot? :) </div></div></div></div>