<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 10, 2017 at 10:03 AM, Dean Coclin <span dir="ltr"><<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_5700166194577201286WordSection1">
<p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)">We’ve always allowed minor changes in ballots after being proposed and this would fall into that category.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif;color:rgb(31,73,125)">However, I strongly believe time spent gathering consensus
<u>would</u> be of value. I disagree that the forum is not a consensus driven organization. Sure there have been disagreements on some issues in the past but for the most part, ballots pass with a large percentage voting yes. Consensus has been a goal since
 the first meeting in NYC. It seems there is an ulterior motive at play in rushing this to a vote.</span></p></div></div></blockquote><div><br></div><div>Can you perhaps expand on your belief of an ulterior motive? That suggests a bad faith attempt, and it would be helpful to understand that accusation or confusion, so it can be addressed.</div><div><br></div><div>Given the three years of attempts to build consensus on this matter, do you believe that we're likely to achieve consensus with an additional week or month of deliberation?</div><div><br></div><div>For example, do you believe that new information has been shared by the Browser members that hasn't been clear for years, such as Gerv's arguments in <a href="https://cabforum.org/pipermail/public/2013-November/002493.html">https://cabforum.org/pipermail/public/2013-November/002493.html</a> , which I've simply repeated here.</div><div><br></div><div>Alternatively, do you believe that an additional week or month of time is necessary for CAs to provide new data, given that they've already had years to do so, but have not?</div><div><br></div><div>I highlight this to suggest that the issue is one which, despite years of trying, we've not been able to drive consensus towards. At this point, most appropriate for the broader community, is to understand what those challenges are, and who specifically is objecting to improving security. It's also useful to understand whether or not there is consensus among browsers that this is a necessary and required step to ensure the security of their users when interacting online.</div><div><br></div><div>I simply highlighted that the end state is that Root Stores / Application Software Suppliers need to take the steps to protect their users. Ideally, ASSes such as myself can help CAs understand our concerns and desires, and the risks and challenges, and find a solution that the community can reach. However, when CAs ignore the concerns of ASSes such as myself, or do not take them seriously, it sometimes requires taking the role of being an ASS serious, and taking the steps directly as part of program policy and implementation.</div><div><br></div><div>Such is the nature of the ecosystem - as much as we all try to ensure we're a community pushing forward, sometimes we get stalled on a roadblock, and we unfortunately have to let CAs be CAs and ASSes be ASSes.</div></div></div></div>