
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 17, 2017 at 3:01 PM, Dimitris Zacharopoulos <span dir="ltr"><<a href="mailto:jimmy@it.auth.gr" target="_blank">jimmy@it.auth.gr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  

    

  

  <div bgcolor="#FFFFFF" text="#000000"><div><div class="h5"><span style="color:rgb(34,34,34)">Ryan, it seems you are reading the 9.16.3 requirement from a

    different point of view and I am. I don't think you 're likely to

    see a local law that mandates what you "can't do". So, you are not

    likely to see a law or an executive order that says "you cannot

    represent Greece with GR". It is more likely that you will find a

    law that says that "for this type of certificate, you must represent

    Greece with EL". </span></div></div></div></blockquote><div><br></div><div>That's the same as saying "You cannot represent Greece as anything but C=EL" :)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000"><div><div class="h5"><span style="color:rgb(34,34,34)">I think that should be enough for 9.16.3 because

    there is a "conflict between these Requirements and a law". In our

    example, the BRs say you can't use C=EL but the "local" law says you

    must use C=EL.</span></div></div></div></blockquote><div><br></div><div>What local law?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">

    I also think you will never see a local law or executive order that

    reads something so overly specific as to combine this requirement

    with "publicly trusted Certificates". <br>

    <br>

    For your consideration, please have a look at

    <a class="m_-342050541472724774moz-txt-link-freetext" href="http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32015D1505" target="_blank">http://eur-lex.europa.eu/<wbr>legal-content/EN/TXT/?uri=<wbr>CELEX%3A32015D1505</a>

    and specifically Annex II. This is an Implementing Decision for

    Regulation 910/2014 (eIDAS).<br>

    <br>

    "<br>

    The information to be notified by Member States under Article 4(1)

    of the present Decision <b>shall</b> contain the following data and

    any changes thereto:<br>

    <p class="m_-342050541472724774normal">(1)</p>

    <p class="m_-342050541472724774normal">Member State, using ISO 3166-1<a id="m_-342050541472724774ntc1-L_2015235EN.01003601-E0001" href="http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32015D1505#ntr1-L_2015235EN.01003601-E0001" target="_blank"> (<span class="m_-342050541472724774super">1</span>)</a> Alpha 2 codes with the following

      exceptions:</p>

    <table border="0" cellpadding="0" cellspacing="0" width="100%">

      <colgroup><col width="4%"> <col width="96%"> </colgroup><tbody>

        <tr>

          <td valign="top">

            <p class="m_-342050541472724774normal">(a)</p>

          </td>

          <td valign="top">

            <p class="m_-342050541472724774normal">The Country Code for United Kingdom shall

              be ‘UK’.</p>

          </td>

        </tr>

      </tbody>

    </table>

    <table border="0" cellpadding="0" cellspacing="0" width="100%">

      <colgroup><col width="4%"> <col width="96%"> </colgroup><tbody>

        <tr>

          <td valign="top">

            <p class="m_-342050541472724774normal">(b)</p>

          </td>

          <td valign="top">

            <p class="m_-342050541472724774normal">The Country Code for Greece shall be ‘EL’.</p>

          </td>

        </tr>

      </tbody>

    </table>

    "<br>

    <br>

    I believe Greece and Great Britain should be allowed their "right"

    to be represented by using the identifiers C=EL and C=UK

    respectively, if they wish to do so. The "spirit" of 9.16.3 is also

    to bring conflicting requirements to the CA/B Forum to consider

    possible revisions accordingly. This is exactly what I am doing,

    without violating the current BRs, but hoping that the CA/B Forum

    will read this as a conflicting requirement which could be resolved

    by adding a simple exception, without creating any risk in current

    practices.<br>

    <br>

    Is this only my reading? Do others read this in a similar way?</div></blockquote><div><br></div><div>As Peter pointed out, in this case, this local law only applies to those on the trust list. This is no different than, for example, other PKIs - including those established by laws - being incompatible with the Web PKI. And that's OK, it just means not to mix the two :) </div></div></div></div>