<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 20, 2017 at 11:34 AM, Gervase Markham via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 17/04/17 18:17, Jeremy Rowley wrote:<br>
> Why the sigh? I think we should have a bright-line rule about when the<br>
> scope/date should be in the proposed ballot vs. when the scope/date must be in<br>
> the document itself.  Otherwise, the objection to including a date in the<br>
> ballot v. BR text seems arbitrary.  If I understand correctly, the accepted<br>
> rule proposed is:<br>
><br>
> 1) The only point in time action that matters is certificate issuance;<br>
<br>
</span>I'm not sure that's quite it. The relevant point in time action is<br>
whatever the BR requirement is about. So requirements about data<br>
gathering relate to when data is gathered; requirements about data reuse<br>
relate to when data is reused, and so on.<br></blockquote><div><br></div><div>Interesting, because I think there may be a small but significant disagreement here.</div><div><br></div><div>That is, if BRs 1.x say:</div><div>1. You must gather data using method Foo</div><div>2. You may reuse data for up to 12 months</div><div>3. You must have data before doing X</div><div> </div><div>and a later BRs 2.x say:</div><div>1. You must gather data using method Bar</div><div>2. You may reuse data for up to 12 months</div><div>3. You must have data before doing X</div><div><br></div><div><br></div><div>It sounds like your interpretation is that "#2" reads "Using this, or any previous, method". Our view is that #2 is contingent and linked to #1 - That is, if Foo is not acceptable, then Foo is not acceptable, full stop. All certificates issued - whether they're for an existing or new validation - should follow the same standards.</div><div><br></div><div>I think your interpretation would make it more detrimental for the ecosystem, because a customer who used method Foo to obtain a certificate, but then wishes to change CAs, must now use method Bar, whereas if they keep the same CA, they can keep using Foo. Similarly, it means for any certificate issued on-or-after BRs 2.x, you cannot be sure whether method Foo or method Bar were used. New certificates MUST use method Bar, but existing data may have used method Foo, and thus be weaker assurance and security.</div><div><br></div><div>So requirements about data gathering apply both when it is gathered and reused. Requirements about data reuse apply when it is reused. And so on.</div></div></div></div>