<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Dec 15, 2016 at 3:18 PM, Eric Mill <span dir="ltr"><<a href="mailto:eric@konklone.com" target="_blank">eric@konklone.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div class="h5"><div><span style="color:rgb(34,34,34)">I don't think First Data's suggestion is all that misleading. </span><br></div></div></div><div><br></div><div>The process explicitly asks for the subscriber's CA to post to the CABF public list, a CABF-members-only forum:</div><div><br></div><div><a href="https://github.com/awhalley/docs-for-comment/blob/master/SHA1RequestProcedure.MD#step-one-request" target="_blank">https://github.com/awhalley/do<wbr>cs-for-comment/blob/master/SHA<wbr>1RequestProcedure.MD#step-one-<wbr>request</a></div><div><br></div><div> The Forum has consented to host this discussion process in its closed environment, initiated by CAs that are Forum members. While individual decisions are made by individual root stores, the decision making *process* is clearly, to me, a Forum process. And while perhaps reasonable members of the Forum may disagree that it is a Forum process, it is definitely going to be *perceived* as a Forum process by everyone outside the Forum, and that perception matters.</div></div></div></div></blockquote><div><br></div><div>I think it's crucially important to dispell - every time it occurs or is represented as so - the suggestion it's a Forum process. The choice of the Forum of the venue was solely predicated on the basis of a pre-existing public mailing list for which some (more active) root stores participate on.</div><div><br></div><div>Would it be a Google process if it was a public group hosted on Google groups? Would it be a Giganews process if it had been hosted on an NNTP newsgroup? Would it be a Github process if we simply created a Github project with pull requests for SHA-1 issuance? The Forum is not the responsible party, the public list simply serves as a technical means of public visibility.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>So yes, the Forum doesn't make the final decision, and indeed there is not one final decision. But from an applicant's perspective, they are approaching the Forum and asking for an answer, and then the answer affects their business. The Forum and its members should be sensitive to the overall impact and perception of their actions.</div></div></div></div></blockquote><div><br></div><div>From an applicant's perspective, they are approaching their CA.</div><div>Their CA is acting on their behalf, in a publicly transparent manner, for a series of questions.</div><div>The choice of a public list is to provide both transparency and accountability - for the CA and for the root stores - and in doing so, reduces the work for the CA.</div><div><br></div><div>This is why it's critical to correct any misunderstandings that would otherwise suggest it's a Forum process. It is not. </div></div></div></div>