<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Mar 4, 2017 at 5:55 PM, Kirk Hall via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_-6065352044030565115WordSection1">
<p class="m_-6065352044030565115MsoPlainText"><u>Li-Chun -- can you solve your problem simply by following the rules in BR 9.16.3</u>?</p></div></div></blockquote><div><br></div><div>I appreciate you raising this, Kirk, but let's be very careful here with what you're proposing.</div><div><br></div><div>The existence of local law regarding the DIT does NOT apply for this section. This section ONLY applies to the extent that local laws governs ALL forms of certificate issuance.</div><div><br></div><div>Concretely, the existence of the US FPKI, for example, does not in and of itself allow a CA to violate the BRs in order to comply with the US FPKI, since there's no local law in the US, as you're no doubt aware, that requires all CAs conform to the US FPKI.</div><div><br></div><div>Peter's point is extremely relevant - the existence of alternative PKIs is something that a number of jurisdictions share, but the extent of 9.16.3 ONLY applies to the set of mandates that apply to _all_ PKIs.</div><div><br></div><div>9.16.3 is the "option of last resort" - and may still result in a CA being distrusted by browser programs, to be clear. </div></div><br></div></div>