<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 31, 2017 at 9:00 PM, Ryan Sleevi <span dir="ltr"><<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span style="font-size:12.8px">Similarly, I'm looking for two endorsers to publicly endorse this ballot.</span><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Background:<br></div><div style="font-size:12.8px">This Ballot is complementary to, but distinct from, Ballot 185, but itself represents a significant impediment towards improving online security. The Baseline Requirements only require that a CA validate a domain name once every 39 months, and that presently (notwithstanding Ballot 185), such certificates may have a validity period of up to 39 months. This effectively means that a CA may validate a domain once, and issue any number of certificates for an effective validity period of 74 months, minus a day.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">To prevent further misissuance for domains in the event of transfer of control, whether through sale or the registration lapsing, as well as to ensure that newly issued certificates reflect industry best practice for domain validation, rather than reusing information from insecure or forbidden validation methods, this Ballot significantly reforms the reuse of validated information.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Notably, the modifications to the EV Guidelines fully removes the ability to simply use the mere existence of a certificate to justify issuance; instead, it reforms the domain authorization to allow the use of information from Section 11.14.3, subject to the existing lifetime concerns. In practice, this should cause no issues and be indistinguishable from a sunset date, but has the added benefit of resolving the ambiguity for EV certificates for domains which do not provide accessible WHOIS datasources.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">The following motion has been proposed by Ryan Sleevi of Google, Inc and endorsed by ___ of ___ and ___ of ___ to introduce new Final Maintenance Guidelines for the "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" and the "Guidelines for the Issuance and Management of Extended Validation Certificates"</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">-- MOTION BEGINS --<br></div><div style="font-size:12.8px">Modify Section 4.2.1 of the "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" as follows:<br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Replace the following paragraph:</div>"""<br>Section 6.3.2 limits the validity period of Subscriber Certificates. The CA MAY use the documents and data provided in Section 3.2 to verify certificate information, provided that the CA obtained the data or document from a source specified under Section 3.2 no more than thirty‐nine (39) months prior to issuing the Certificate. <br>"""<div style="font-size:12.8px"><br></div><div style="font-size:12.8px">with:</div><div style="font-size:12.8px">"""</div><div style="font-size:12.8px">Section 6.3.2 limits the Validity Period of Subscriber Certificates.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">For certificates issued prior to 1 May 2017, t<span style="font-size:small">he CA MAY use the documents and data provided in Section 3.2 to verify certificate information, provided that the CA obtained the data or document from a source specified under Section 3.2 no more than thirty‐nine (39) months prior to issuing the Certificate.</span><span style="font-size:small"> </span></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">For certificates issued on or after 1 May 2017, the CA MAY use the documents and data provided in Section 3.2 to verify certificate information if the documents or data meet all of the following criteria:</div><div style="font-size:12.8px">  1. The CA obtained the data or document from a source specified under Section 3.2 no more than thirteen (13) months prior to issuing the Certificate.</div><div style="font-size:12.8px">  2. The method used to obtain the document or data was acceptable under Section 3.2 at the time the document or data was obtained.</div><div style="font-size:12.8px">  3. The method used to obtain the document or data is acceptable under Section 3.2 at the time the documents or data is used to verify certificate information.</div><div style="font-size:12.8px">  4. The CA has not revoked any certificates which contain certificate information verified using the document or data.</div><div style="font-size:12.8px">"""</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Modify Section 11.14.1 of the "Guidelines for the Issuance and Management of Extended Validation Certificates" as follows:<br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Delete the following item:</div><div style="font-size:12.8px">"""</div><div style="font-size:12.8px">(6) The Applicant's right to use the specified Domain Name under Section 11.7, provided that the CA verifies that the
WHOIS record still shows the same registrant as when the CA verified the specified Domain Name for the initial
EV Certificate.<br></div><div style="font-size:12.8px">"""</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Modify Section 11.14.3 of the "<span style="font-size:12.8px">Guidelines for the Issuance and Management of Extended Validation Certificates" as follows:</span></div><div style="font-size:12.8px"><span style="font-size:12.8px"><br></span></div><div style="font-size:12.8px"><span style="font-size:12.8px">Add the following item:</span></div><div style="font-size:12.8px"><span style="font-size:12.8px">"""</span></div><div style="font-size:12.8px"><span style="font-size:12.8px">(5) The CA MUST ensure that any documents or data used to support the issuance of an EV Certificate complies with the requirements and limits set forth in Section 6.3.2 of the Baseline Requirements.</span></div><div style="font-size:12.8px"><span style="font-size:12.8px">"""</span></div></div></blockquote><div><br></div><div>And of course, despite much proofreading, there's no greater highlighter for errors than the "Send" button. This "Section 6.3.2" should instead reference "Section 4.2.1" (that is, it incorporates by reference the limits of reusing validated information, rather than incorporating by reference the validity lifetimes)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="font-size:12.8px"><span style="font-size:12.8px"><br></span></div><div style="font-size:12.8px"><span style="font-size:12.8px">-- MOTION ENDS --</span><br></div></div>
</blockquote></div><br></div></div>