<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 10, 2016 at 10:56 AM, Steve Medin <span dir="ltr"><<a href="mailto:Steve_Medin@symantec.com" target="_blank">Steve_Medin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-5259147257791076824WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">I’m suggesting that contracts like what we’re discussing gain material impact on the BRs through BR mention of them and their associated handling and disclosure of existence rules. </span></p></div></div></blockquote><div><br></div><div>Can you point to what rules you're thinking of that require the disclosure or handling? Because I can certainly think of examples with Symantec not disclosing contracts.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-5259147257791076824WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">I want to allow customers to grant CAs the right to bypass CAA checking, </span></p></div></div></blockquote><div><br></div><div>Why? Can we move from talking about things wanted to understanding why? This was discussed at the F2F, but it's particularly helpful to understand why you object, other than it creates more work. I'm not saying that more work is not important, but I want to make sure that if there are reasons other than that it's more work, we've properly considered them.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-5259147257791076824WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">and I want to publicly show that the right has been granted (response to Jeremy) so that such behavior can be inspected.</span></p></div></div></blockquote><div><br></div><div>The problem with what's proposed is there's a significant and material difference between expressing that in a TCSC - which is technically enforcable - and a general contract proviso.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-5259147257791076824WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">If stricter rules about CAA are imposed and they have contractual impact because, given the above, contracts become a constraint and a compliance tool in the BRs, then it would follow that inadequate or out of date contracts would put a CA at risk of non-compliance.</span></p></div></div></blockquote><div><br></div><div>I believe we must be talking past eachother, because I don't believe there is anything in the BRs to support your claim here. I'd love to be mistaken - to see actual support for this statement - but I suspect it's moreso borne out of a misunderstanding of the point I was making.</div><div><br></div><div>I'm specifically talking about better controls afforded via CAA - such as the ability to restrict issuance methods that was discussed in the F2F. If the CA/B Forum (or the IETF) introduced such controls, then it bears determining with the customer whether or not they want to continue to opt-out of CAA. Similarly, if CAA affords them more flexibility through some change in the Forum or the IETF, it bears determining with the customer whether or not they want to continue to opt-out of CAA.</div><div><br></div><div>I'm specifically objecting to the notion of 'set it and forget it' - that is, a blanket exclusion that never gets revisited. If the idea of contractual-based exclusions is countenanced, then we should take appropriate steps to ensure its scope is limited. One such way to limit that scope is require the exclusion be reauthorized any time there's a chance in the Forum/IETFs CAA policies.</div></div></div></div>