<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 14, 2017 at 5:29 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_-3399879889743277104WordSection1"><div><div><div><span class="gmail-"><div><p class="MsoNormal">You're already permitted to reuse the data and documents, in the example I covered. Can you indicate what part of that process you're attempting to mitigate?<u></u><u></u></p></div></span><div><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif">{JR} Your example was only 3.2.2.4. 3.2.2.4 only applies to domain validation, not organizational validation. The process I’m attempting to mitigate is reuse of organizational validation information.</span></p></div></div></div></div></div></div></blockquote><div><br></div><div>I think we're talking past eachother. You're trying to reuse the exact validation. I'm suggesting you can reuse the documents and data in a way that it makes no meaningful difference, but trying to understand if you disagree.</div><div><br></div><div>From my original message:</div><div><ol style="font-size:12.8px"><li style="margin-left:15px">The CA must verify every request independent of any past actions (Section 4.2.1, "The CA SHALL establish and follow a documented procedure for verifying all data requested for inclusion in the Certificate by the Applicant.", "The CA MAY use the documents and data provided in Section 3.2 to verify certificate information" - note, active tense)</li><li style="margin-left:15px">The CA may use previously obtained information consistent with that validation, provided that it reverifies that data</li><ol><li style="margin-left:15px">For example, if a certificate request includes the name or address of an organization (Section 3.2.2.1), then the CA may verify that request by using data previously obtained from one of the data sources enumerated therein. The CA MUST verify that the information in the request is consistent with that dataset. For a programmatic verification, this may be as 'simple' as checking an equality check with the existing documents.</li></ol></ol></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_-3399879889743277104WordSection1"><p class="MsoNormal"><span style="font-size:11pt;font-family:calibri,sans-serif">{JR} In that case we could simply drop 3.3.1 (as you pointed out that particular issue is already addressed in 3.2.2.4):<u></u><u></u></span></p><p class="MsoNormal">Add the following to 4.2.1 (sort of taken from 11.14.1 of EV) after the third paragraph: <u></u><u></u></p><p class="MsoNormal">If an Applicant has a currently valid Certificate issued by the CA, a CA MAY rely on the prior authentication and verification:  <u></u><u></u></p><p class="MsoNormal">(1) The Applicant's identity as verified under Section 3.2.2.1; <u></u><u></u></p><p class="MsoNormal">(2) The Applicant’s DBA as verified under Section 3.2.2.2;<u></u><u></u></p><p class="MsoNormal">(3) The countryName as verified under Section 3.2.2.3;<u></u><u></u></p><p class="MsoNormal">(4) The Applicant’s individual identity as verified under Section 3.2.3; and<u></u><u></u></p><p class="MsoNormal">(5) The Applicant’s authorization to issue the Certificate as verified under Section 3.2.5, provided that the CA receives or confirms the request for a Certificate using a Reliable Method of Communication.</p></div></div></blockquote><div><br></div><div>The problem there, with this wording, is that it doesn't include the time limit. I think you're thinking the clause with "the CA MAY use documents and data" applies, but it doesn't. That is, this is even worse in creating the (clearly unintentional, on your part) loophole. </div></div><br></div></div>