<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 21, 2017 at 12:14 PM, Alex Wight (awight) via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">







<div bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_4732268355913672907WordSection1">
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Tahoma">Hi all,<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Tahoma">  Please forgive me if this question is a bit naïve and perhaps something I should know already; Am I correct in assuming the following scenario is valid under the current BRs?<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Tahoma"><u></u> <u></u></span></p>
<p class="m_4732268355913672907MsoListParagraph" style="margin-left:.25in">
<u></u><span style="font-size:10.0pt;font-family:Tahoma"><span>1.<span style="font:7.0pt "Times New Roman"">    
</span></span></span><u></u><span style="font-size:10.0pt;font-family:Tahoma">Day 1 - CA gathers Identification and Authentication (I&A) information for a particular subscriber<u></u><u></u></span></p>
<p class="m_4732268355913672907MsoListParagraph" style="margin-left:.25in">
<u></u><span style="font-size:10.0pt;font-family:Tahoma"><span>2.<span style="font:7.0pt "Times New Roman"">    
</span></span></span><u></u><span style="font-size:10.0pt;font-family:Tahoma">Day 1 - CA issues a certificate valid for 825 days<u></u><u></u></span></p>
<p class="m_4732268355913672907MsoListParagraph" style="margin-left:.25in">
<u></u><span style="font-size:10.0pt;font-family:Tahoma"><span>3.<span style="font:7.0pt "Times New Roman"">    
</span></span></span><u></u><span style="font-size:10.0pt;font-family:Tahoma">824 days later - CA issues a new certificate valid for 825 days using the I&A data cached from day 1<u></u><u></u></span></p>
<p class="m_4732268355913672907MsoListParagraph" style="margin-left:.25in">
<u></u><span style="font-size:10.0pt;font-family:Tahoma"><span>4.<span style="font:7.0pt "Times New Roman"">    
</span></span></span><u></u><span style="font-size:10.0pt;font-family:Tahoma">…rinse, repeat.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Tahoma"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Tahoma">  In short, we can certify ownership of a domain for 1649 days (over 4 and a half years) based on a single I&A verification event performed on Day 1, correct?</span></p></div></div></blockquote><div><br></div><div>Now you understand our concerns regarding that reuse, and our desire to see Ballot 190 (and Ballot 186) address these concerns more meaningfully to the information they're attesting to, based on the risk and frequency of change.</div><div><br></div><div>Under the current BRs (1.4.2), Section 4.2.1 permits it for thirty-nine months. If we take the most absolutely liberal interpretation (which is difficult to justify, but easy to compute), of 39 months meaning 31-day months, for a total of 1209 days, then it means a CA only needs to validate an Applicant controls a domain once every 2,417 days.</div><div><br></div><div>Assuming 1.4.4 successfully is adopted, that will reduce to one DNS validation performed every 1,649 days.</div><div><br></div><div>We should aim to see that number, for domain validations, reduced to (max lifetime of cert), at worst.</div><div><br></div><div>Note that in theory, the Subscriber is contractually obligated to inform the CA when they lose the right to use the domain name. In doing so, this absolves the CA of the responsibility to ensure the information they've certified is correct, because it is the Subscriber that has failed to follow the TOU, not the CA's fault. This comes from Sections 9.6.1(1), 9.6.3(1), and 9.6.3(5).</div></div></div></div>