<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 26, 2017 at 8:47 PM, Geoff Keating <span dir="ltr"><<a href="mailto:geoffk@apple.com" target="_blank">geoffk@apple.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><span class=""><br><div><blockquote type="cite"><div>On 26 Apr 2017, at 5:12 pm, Kirk Hall via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:</div><br class="m_-6269960560528607383Apple-interchange-newline"><div><div class="m_-6269960560528607383WordSection1" style="font-family:HelveticaNeue;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif">Ryan, you kind of skipped over a core rationale for this draft ballot – that it’s somehow too hard to audit DTPs (at least as to their domain validation activities).  Why is it too hard?<u></u><u></u></span></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif">Here is what the Purpose section of the ballot says:<u></u><u></u></span></div><div style="margin:0in 0in 0.0001pt 0.5in;font-size:12pt;font-family:'Times New Roman',serif"><b><span style="font-size:11pt;font-family:Calibri,sans-serif">Purpose of Ballot:<span class="m_-6269960560528607383Apple-converted-space"> </span></span></b><span style="font-size:11pt;font-family:Calibri,sans-serif">At the moment, CAs are permitted to delegate the process of domain and IP address validation.<span class="m_-6269960560528607383Apple-converted-space"> </span><b><u>However, permitting such delegations is problematic due to the way audits work - the auditing of such work may or may not be required and, if it is, those audit documents may not make it back to root programs for consideration</u></b>. Although the audit situation also needs fixing, domain validation is an important enough component of a CA's core competencies that it seems wiser to remove it from the larger problem and forbid its delegation. The purpose of this ballot is to ensure that CAs or their Affiliates are always the ones performing domain/IP address ownership validation for certificates that CA is responsible for.<u></u><u></u></span></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><u></u> <u></u></span></div><div style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif">Can you and/or Gerv explain why auditing of DTPs can’t be fixed?</span><span style="font-family:Calibri,sans-serif;font-size:11pt"> </span></div></div></div></blockquote><br></div></span><div><div>An alternative approach would be to require that audits include all DTPs involved in domain validation (or, all DTPs no matter what they do) in the scope of the CA’s audit; so there would be one audit which covers the CA and all DTPs over the audit timeframe.  My understanding from the discussion at the last F2F is that the auditors and CAs did not think this would be feasible in typical cases.</div></div></div></blockquote><div><br></div><div>Right, this is something Google's discussed with the WebTrust TF several times now, and there are a whole host of both professional and procedural difficulties with this. While the discussion of how to properly ensure and assert DTPs are secured, given the issues we've seen with DTPs performing domain validation insufficiently or incorrectly, and that this doesn't affect the other validation functions, this represents a simple, clean, expedient, and, as far as anyone who has participated in the discussions so far, with no negative or unintended effect.</div><div><br></div><div><br></div></div></div></div>