<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 16, 2017 at 6:20 AM, Gervase Markham via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Kirk and all,<br>
<br>
If it's not too late, can we add an additional item to the agenda for<br>
the F2F?<br>
<br>
The Baseline Requirements, in section 1.3.2 (title: "Registration<br>
Authorities") have the concept of a Delegated Third Party (DTP), to whom<br>
some or all of the tasks in section 3.2 (title: "Identity Validation")<br>
can be delegated, including the validation of domain ownership. The way<br>
this section is worded leads be to believe an RA and a DTP are<br>
effectively the same thing; please correct me if that's wrong.<br>
<br>
Delegated Third Parties may, but are not required to be audited (see<br>
section 8.4). But if they are, those audits are not necessarily required<br>
to be disclosed to Mozilla under our current processes because they do<br>
not correspond to a particular root or intermediate.<br>
<br>
We would like to explore with CAs the impact of tightening the rules in<br>
this area, in one of several possible ways, to make sure that audits are<br>
always obtained when appropriate, and are always disclosed to root programs.<br>
<br>
One possible change is to require all CAs to arrange it so that certs<br>
validated by an RA/DTP are issued from one or more intermediates<br>
dedicated solely to that RA, with such intermediates clearly labelled<br>
with the name of the RA in the Subject. This idea provides a natural<br>
point for the CP/CPS and audits of the RA to be monitored in the CCADB,<br>
because they would be attached by the CA to the issuing intermediate for<br>
that RA.<br>
<br>
But there may be other ways of doing this, and we want to make sure we<br>
do not impose disproportionate burdens.<br>
<br>
Gerv<br></blockquote><div><br></div><div>I suspect this issue is more complex, given the extent of what audits can - and more commonly, don't - cover.</div><div><br></div><div>Is this something suited for the Future of the Web PKI discussion? That might afford better discussion.</div><div><br></div><div>Given the limits of what audits can cover, and more commonly, what they don't cover, it does seem desirable to consider the elimination of Delegated Third Parties entirely, and find a better way to fold the activities encompassed in to the overall audit scheme. Otherwise, we risk even greater chance of carving up principles and criteria in ways that cannot be effectively maintained or reasonably evaluated. </div></div><br></div></div>