<div dir="ltr">Indeed, but as security specialists, we must think about the hypothetical scenarios that the rules permit - because very quickly, whether we intend to or not, we find them made manifest and causing issue. This is, of course, specific to proposals that make broad exceptions, and highlight the need to be specific in the guidance, rather than assume it won't happen.</div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 24, 2017 at 9:22 PM, Moudrick M. Dadashov <span dir="ltr"><<a href="mailto:md@ssc.lt" target="_blank">md@ssc.lt</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>Indeed, we are talking about two different things - I refer to government managed registries where D1 and D2 will maintain only data objects under their respective control.</div><div><br></div><div>The case that a country can maintain a registry overlaping with (native) data objects of another jurisdiction sounds quite hypothetical.</div><span class=""><div><br></div><div>Thanks,</div><div>M.D.</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div id="m_-4862289812829316957composer_signature"><div style="font-size:85%;color:#575757" dir="auto">Sent from Samsung tablet.</div></div><div><br></div></span><div style="font-size:100%;color:#000000"><span class=""><div>-------- Original message --------</div><div>From: Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>> </div></span><div><div class="h5"><div>Date: 3/25/17  01:39  (GMT+01:00) </div><div>To: "Moudrick M. Dadashov" <<a href="mailto:md@ssc.lt" target="_blank">md@ssc.lt</a>> </div><div>Cc: CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>>, Ben Wilson <<a href="mailto:ben.wilson@digicert.com" target="_blank">ben.wilson@digicert.com</a>> </div><div>Subject: Re: [cabfpub] Naming rules </div><div><br></div></div></div></div><div><div class="h5"><div dir="ltr">Jurisdiction A defines an independent directory tree (D1).<div><div>Jurisdiction B defines an independent directory tree (D2).</div></div><div><br></div><div>D1 uses the naming scheme defined by Jurisdiction A</div><div>D2 uses the naming scheme defined by Jurisdiction B.</div><div><br></div><div>Unless you know all of the laws regarding Jurisdiction A, B, C, ... Z, and can make an effective declaration that no jurisdiction exists that defines a directory tree (D0) that conflicts with either D1 or D2, then you cannot assert that D1 or D2 are unique.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 24, 2017 at 8:31 PM, Moudrick M. Dadashov <span dir="ltr"><<a href="mailto:md@ssc.lt" target="_blank">md@ssc.lt</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>Hi Ryan, can you give an example of 'cross-jurisdictional directory trees'?</div><span><div><br></div><div>Thanks,</div><div>M.D.</div><div><br></div><div><br></div><div><br></div><div id="m_-4862289812829316957m_-1807730034059743165composer_signature"><div style="font-size:85%;color:#575757" dir="auto">Sent from Samsung tablet.</div></div><div><br></div></span><span><div style="font-size:100%;color:#000000"><div>-------- Original message --------</div><div>From: Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>> </div><div>Date: 3/25/17  01:15  (GMT+01:00) </div><div>To: "Moudrick M. Dadashov" <<a href="mailto:md@ssc.lt" target="_blank">md@ssc.lt</a>> </div><div>Cc: CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>>, Ben Wilson <<a href="mailto:ben.wilson@digicert.com" target="_blank">ben.wilson@digicert.com</a>> </div><div>Subject: Re: [cabfpub] Naming rules </div><div><br></div></div></span><div dir="ltr"><br><div><div class="m_-4862289812829316957h5"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 24, 2017 at 8:07 PM, Moudrick M. Dadashov <span dir="ltr"><<a href="mailto:md@ssc.lt" target="_blank">md@ssc.lt</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>Auditor examine it through the same government adopted registry.</div><div><br></div><div>In fact if government has a centralised register, there is a very little chance that the same data  catogories will be maintained in two different resources - duplication of responsibilitiies is prohibited by law.</div><span><div><br></div><div>Thanks,</div><div>M.D.</div></span></div></blockquote><div><br></div><div><br></div><div>Hi Moudrick,</div><div><br></div><div>I'm sorry, but it may not have been clear, I was talking about cross-jurisdictional directory trees. There's nothing that would ensure their unambiguous uniqueness here, and as proposed, two entities could have X.500 DITs that reflected both _their_ jurisdiction and, more importantly, how _their_ jurisdiction views other jurisdictions.</div><div><br></div><div>I believe you've misunderstood this to be about a single jurisdiction, but I was not talking about that. Auditors would have to be aware of all jurisdictions - and more importantly, all jurisdictional laws that apply or are relevant for CAs. This is much like the can of worms related to 9.16.3 in which some laws or registries only apply to specific participants.</div><div><br></div><div>So while your responses would be correct for a single jurisdiction, that's not the issue :)</div></div></div></div></div></div>
</div></blockquote></div><br></div>
</div></div></div></blockquote></div><br></div>