<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 13, 2016 at 6:10 PM, Ryan Sleevi via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span class="gmail-">On Tue, Dec 13, 2016 at 2:59 PM, Dean Coclin <span dir="ltr"><<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_3385243510014257232gmail-m_-5351924772427320289WordSection1"><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)">As I said below, much like you did with Rich’s post, I’m just posting this on behalf of FD. I’m sure they will have a response for you. But here’s what I think:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)"><br>The items brought up in Gerv’s prior thread that you highlight below were all addressed at one time or another. For example:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)"><a href="https://cabforum.org/pipermail/public/2016-October/008492.html" target="_blank">https://cabforum.org/pipermail<wbr>/public/2016-October/008492.<wbr>html</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)"><a href="https://cabforum.org/pipermail/public/2016-October/008510.html" target="_blank">https://cabforum.org/pipermail<wbr>/public/2016-October/008510.<wbr>html</a> <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)"><a href="https://cabforum.org/pipermail/public/2016-October/008545.html" target="_blank">https://cabforum.org/pipermail<wbr>/public/2016-October/008545.<wbr>html</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)"><a href="https://cabforum.org/pipermail/public/2016-October/008553.html" target="_blank">https://cabforum.org/pipermail<wbr>/public/2016-October/008553.<wbr>html</a><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)">The “new” information appears to be a question of “fairness” in the way the forum has treated two independent companies in their exception requests.</span></p></div></div></blockquote><div><br></div></span><div>This doesn't seem terribly new information. Indeed, you previously responded in <a href="https://cabforum.org/pipermail/public/2016-October/008492.html" target="_blank">https://cabforum.org/<wbr>pipermail/public/2016-October/<wbr>008492.html</a> regarding it, and we'd discussed in further in <a href="https://cabforum.org/pipermail/public/2016-October/008583.html" target="_blank">https://cabforum.org/<wbr>pipermail/public/2016-October/<wbr>008583.html</a> . That's why I thought it already addressed</div><div><br></div><div>There was the TSYS request - <a href="https://cabforum.org/pipermail/public/2016-July/008101.html" target="_blank">https://cabforum.org/<wbr>pipermail/public/2016-July/<wbr>008101.html</a> - which Symantec demonstrated multiple failures in following that process, and which the community failed to detect all of them (perhaps, in part, because of otherwise more pronounced surprises)</div><div>And there was Worldpay, which was itself exceptional and prior to any formalized process to evaluate and mitigate both immediate and ecosystem risk. Further, as part of the WorldPay allowance, it was restricted to 90 days and expiring on/before 2016-12-31 ( <a href="https://groups.google.com/d/msg/mozilla.dev.security.policy/RHBHXJOG8Io/FJuaWeXAAQAJ" target="_blank">https://groups.google.com/d/<wbr>msg/mozilla.dev.security.<wbr>policy/RHBHXJOG8Io/<wbr>FJuaWeXAAQAJ</a> )</div><div><br></div><div>That's why I'm trying to understand what new information there is. Without wanting to speak to other programs, if we were using TSYS as the baseline to evaluate against, than First Data's request should not have been accepted, given Symantec's inability to follow procedures ( <a href="https://cabforum.org/pipermail/public/2016-July/007986.html" target="_blank">https://cabforum.org/<wbr>pipermail/public/2016-July/<wbr>007986.html</a> and the aforementioned known issues). So while it's possible to question fairness, it seems equally possible to question whether Symantec should have been allowed to issue such certificates in the first place.</div></div></div></div></blockquote><div><br></div><div>If Symantec's request was granted despite not following the procedures, the browsers who reviewed and approved the request share some significant culpability too. Collectively, it's CABF's fault, especially since the process is designed to be adjudicated in the CABF public forum by CABF members.</div><div><br></div><div>First Data is pointing to its request getting a different outcome from TSYS. The reason for the difference seems to be, as stated by browsers now and at the time, that TSYS' request _should_ have been limited to 12/31 by the letter of the process, and so browsers didn't want to replicate the mistake a second time.</div><div><br></div><div>However, that decision absolutely opens the Forum up to criticism, since the Forum is responding to its failure to abide by its own process for TSYS by penalizing an organization (First Data) that is neither the Forum nor TSYS. CABF members, especially browsers, frequently point out that entities that create risk to the ecosystem should bear the cost of that choice, rather than having the ecosystem absorb that cost for them.</div><div><br></div><div>I think the Forum should give First Data the extension to their requested date. I think it shoudl also consider updating the process to extend the notAfter deadline to February so that future exceptions, if they are granted at all, can remain consistent with the text. This way, the Forum avoids the perception and reality of conferring competitive advantage to an unaffiliated company, and the policy avoids being inconsistent with the results of (as of now) 50% of its uses.</div><div><br></div><div>-- Eric</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>Is there some detail I'm missing?</div></div></div></div>
<br>______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br></div></div></div></div></div></div></div>
</div></div>