<div dir="ltr">It probably comes as no surprise to anyone in the Forum that I'm not a big fan of a blanket policy for CA discretion, much like the any other method concerns :)<div><br></div><div>Jeremy previously had a pretty good draft here, but didn't go forward with it. That's captured in <a href="https://cabforum.org/pipermail/public/2015-March/005312.html">https://cabforum.org/pipermail/public/2015-March/005312.html</a></div><div><br></div><div>Are there new concerns why that approach wouldn't work?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 2, 2017 at 7:23 PM, Ben Wilson via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_-379238573717049542WordSection1">
<p class="MsoNormal">All,<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Attached is a redlined Word doc containing sections 4.9.1.1 and 4.9.5 of the  Baseline Requirements.  To provide greater flexibility when revoking certificates, I am proposing that we remove the 24-hour revocation requirement from section
 4.9.1.1 and replacing it with a criteria-based process found in section 4.9.5.  Section 4.9.5 (Time within which CA Must Process the Revocation Request) would read:<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">The CA SHALL begin an investigation of the facts and circumstances related to a Certificate Problem Report or other revocation-related notice within one business day of receipt. After reviewing the facts and circumstances, the CA SHALL
 work with any entity reporting the Certificate Problem Report or other revocation-related notice to establish a date when the CA will revoke the Certificate or take whatever other appropriate action is warranted. The date selected by the CA SHOULD consider
 the following criteria:<u></u><u></u></p>
<p class="MsoNormal">1. The nature of the alleged problem (scope, context, severity, magnitude, risk of harm);<u></u><u></u></p>
<p class="MsoNormal">2. The consequences of revocation (direct and collateral impacts to Subscribers and Relying Parties);<u></u><u></u></p>
<p class="MsoNormal">3. The number of Certificate Problem Reports received about a particular Certificate or Subscriber;<u></u><u></u></p>
<p class="MsoNormal">4. The entity making the complaint (for example, a complaint from a law enforcement official that a Web site is engaged in illegal activities should carry more weight than a complaint from a consumer alleging that she didn’t receive the
 goods she ordered); and<u></u><u></u></p>
<p class="MsoNormal">5. Relevant legislation.<span class="HOEnZb"><font color="#888888"><u></u><u></u></font></span></p><span class="HOEnZb"><font color="#888888">
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Ben <u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
</font></span></div>
</div>

<br>______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
<br></blockquote></div><br></div>