<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 28, 2017 at 3:59 PM, Jeremy Rowley via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I think removing DTPs completely would have some unforeseen consequences.  We talked about the need for DTPs when passing the guidelines and the various reasons were given:<br>
1) Org validation - some entities have DTPs that validate organizational validation in the country where they operate.<br>
2) Domain validation - some entities used to outsource domain validation (this is what the ballot is trying to prohibit and what everyone agreed to at the F2F)<br>
3) OCSP/CRL signing - some entities give third parties control over OCSP/CRL signing<br>
4) Subscriber agreement signing - some entities delegate the subscriber agreement collection requirements to third parties<br>
5) Repository hosting - some entities have a third party host/provide their repository<br>
<br>
I don't recall anyone mentioning outsourcing of training, archiving, or background checks, but I could see some of this happening. I also don't have examples of all of these situations, but these were some of the reasons cited previously for using DTPs. Refining the permitted delegation of functionality might be better than removing the concept completely.<br></blockquote><div><br></div><div>Note, none of these activities would be forbidden - they'd just be part of the same scope of the audit. </div></div><br></div></div>