<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 17, 2017 at 12:43 PM, Dimitris Zacharopoulos <span dir="ltr"><<a href="mailto:jimmy@it.auth.gr" target="_blank">jimmy@it.auth.gr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <br>
    I remember this being discussed at the Bilbao meeting and it was
    also in the <a href="https://cabforum.org/2016/02/17/2016-02-17-minutes-of-f2f-meeting-37/#Compliance-Assessment-Coordination-with-auditors-and-browsers" target="_blank">published
      minutes</a>. It was a very interesting discussion and the minutes
    describe the conversation well.<br>
    <br>
    Perhaps this is not the case with every auditor but there might be
    auditors out there that actually try to verify adherence to section
    2.2 that CAs must be compliant with the latest version of the BRs.
    So, I think adding reasonable effective dates, solves this problem.</div></blockquote><div><br></div><div>I'm afraid we may be talking past eachother.</div><div><br></div><div>A CA MUST adhere to the latest published version of the BRs. That is not in question.</div><div><br></div><div>This ONLY applies to new certificates the CA is issuing since those BRs came in effect. Previous certificates they issued were governed by the previous versions of the BRs (if after the BRs effective date) at the time _those_ certificates were issued.</div><div><br></div><div>So this requirement has a clear effective date - for any new certificates issued. Much like the BRs cannot retroactively suggest something was not a BR violation then, and instead only state it's not a BR violation going further, the BRs do not retroactively state something was a BR violation.</div><div><br></div><div>Any issue that would arise from this is due to an auditor inappropriately applying the criteria. That's not something to paper over with an effective date - that's something to bring to the forefront.</div><div><br></div><div>It does not sound like you're aware of any auditor doing so. I understand and appreciate your concern for the possibility, but absent that, and given the clear statements from auditors in the past regarding how they conduct their audits, I do not believe this is a reasonable or rational concern. I hope I've demonstrated why, if it does arise, it's something that we absolutely do want to highlight, so that the auditor, not the CA, can be better instructed.</div><div><br></div></div></div></div>