<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 1, 2017 at 10:57 AM, Peter Bowen <span dir="ltr"><<a href="mailto:pzbowen@gmail.com" target="_blank">pzbowen@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Feb 1, 2017 at 10:51 AM, Ryan Sleevi via Public<br>
<<a href="mailto:public@cabforum.org">public@cabforum.org</a>> wrote:<br>
><br>
><br>
> On Wed, Feb 1, 2017 at 10:49 AM, Ryan Sleevi <<a href="mailto:sleevi@google.com">sleevi@google.com</a>> wrote:<br>
>><br>
>> Reposing on behalf of Jürgen Brauckmann <<a href="mailto:brauckmann@dfn-cert.de">brauckmann@dfn-cert.de</a>><br>
>><br>
>> Ryan Sleevi via Public schrieb:<br>
>> >   4. The CA has not revoked any certificates which contain certificate<br>
>> > information verified using the document or data.<br>
>><br>
>> Your goal is to kill OV?<br>
><br>
><br>
> And why does OV require revocation? OV totally remains valid, so long as<br>
> you're not revoking those certs.<br>
><br>
> As mentioned in my other message just now, beyond keyCompromise, what other<br>
> reasons would you revoke a cert? Surely if you revoke a cert because of<br>
> "affiliationChanged", you should very well be revalidating the affiliation<br>
> before issuing a new cert; otherwise, you could revoke the cert and totally<br>
> reissue it using the original bogus information.<br>
<br>
</span>Consider the X.509 text:<br>
<br>
- superseded indicates that the certificate has been superseded but<br>
there is no cause to suspect that the private key has been compromised<br>
<br>
- cessationOfOperation indicates that the certificate is no longer<br>
needed for the purpose for which it was issued but there is no cause<br>
to suspect that the private key has been compromise<br>
<br>
If a customer is replacing certificate X with certificate Y (probably<br>
with the same SANs), it is completely reasonable for them to request<br>
revocation of X once Y is fully deployed.  I would use "superseded"<br>
for this case.  It is also possible that a customer ceases to use a<br>
server and wants to revoke using "cessationOfOperation".  Neither of<br>
these cases says anything about the validity of the domain<br>
registration or organization information.<br>
<br>
Thanks,<br>
Peter<br>
</blockquote></div><br></div><div class="gmail_extra">Thanks Peter. I'm curious - if the ballot allowed for the re-use of previously validated information, provided that the only certificates revoked were for keyCompromise, superseded, and cessationOfOperation, do you think that would resolve the first concern you raised?</div><div class="gmail_extra"><br></div><div class="gmail_extra">Despite the bugginess/lack of coverage of the WHOIS validation, I'm also happy to reintroduce that back in this Ballot, and then work on a subsequent ballot to better refine that to reflect the intent of the original text as it relates to the practical demonstrations of control presently permitted.</div></div>