<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.gmail-
        {mso-style-name:gmail-;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>A slightly different third interpretation:<o:p></o:p></span></p><p class=MsoNormal>- Obtaining a partial request (under 4.2.1, the certificate request does not contain all necessary information…) <o:p></o:p></p><p class=MsoNormal> - Obtaining validation documentation (under 3.2.2.4)<o:p></o:p></p><p class=MsoNormal>- Completing the certificate request (4.2.1)<o:p></o:p></p><p class=MsoNormal>- Looking back 825 days at documentation already obtained (per 4.2.1, the CA may use the documents…)<o:p></o:p></p><p class=MsoNormal>- Relying on the CA documentation of the verification to issue the cert.<o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></p><p class=MsoNormal><a name="_MailEndCompose"><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p> </o:p></span></a></p><span style='mso-bookmark:_MailEndCompose'></span><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>From:</span></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'> Public [mailto:public-bounces@cabforum.org] <b>On Behalf Of </b>Ryan Sleevi via Public<br><b>Sent:</b> Friday, May 19, 2017 6:14 PM<br><b>To:</b> Peter Bowen <pzb@amzn.com><br><b>Cc:</b> Ryan Sleevi <sleevi@google.com>; CA/Browser Forum Public Discussion List <public@cabforum.org><br><b>Subject:</b> Re: [cabfpub] Preballot - Revised Ballot 190<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>On Fri, May 19, 2017 at 7:52 PM, Peter Bowen <<a href="mailto:pzb@amzn.com" target="_blank">pzb@amzn.com</a>> wrote:<o:p></o:p></p><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt'><div><div><div><p class=MsoNormal>There is no reason a CA couldn’t pull public records based on info in CT to help expedite things (for example identifying the company registration number), but the validation still has to happen. You can’t finalize the validation without binding it to a legal entity who will be the applicant/subscriber.  It is possible that this validation could use records pulled by the CA prior to the request for validation.<o:p></o:p></p></div></div></div></blockquote><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>And this goes back to the initial question you posed that kicked this all off, namely:<o:p></o:p></p></div><div><p class=MsoNormal>"I think some have suggested that the BRs don’t allow this alternative order of operations, but I’m having a little trouble finding the specific cite.  Do you, Ryan, or does anyone else, think the order of operations described above is not valid?"<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>To tie this all back together: Section 4.2.1 only permits the reuse of information gathered in context with Section 3.2:<o:p></o:p></p></div><div><p class=MsoNormal>"The    CA      MAY   use       the            documents       and      data     <o:p></o:p></p></div><div><p class=MsoNormal>provided          in         Section            3.2            to         verify   certificate            information,    provided          that            the       CA      obtained          the            data     or         document        <o:p></o:p></p></div><div><p class=MsoNormal>from    a          source  specified          under            Section            3.2       no        more            than     thirty<span style='font-family:"Cambria Math",serif'>‐</span>nine       (39)            months prior    to         issuing the            <o:p></o:p></p></div><div><p class=MsoNormal>Certificate."<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Section 3.2 is tied to what the Applicant is requesting in the certificate:<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>So for there to be information to be reused, it needs to be obtained in the context of an Applicant. <o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>And so the question is whether or not there can be an Applicant prior to a Certificate Request.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Section 1.6.1 establishes the Applicant as: "The    natural person or         Legal   Entity            that      applies for       (or       seeks            renewal           of)       a            Certificate. Once         the       <o:p></o:p></p></div><div><p class=MsoNormal>Certificate       issues, the       Applicant            is         referred           to         as            the       Subscriber.                  For            Certificates      issued  to            devices,           the       <o:p></o:p></p></div><div><p class=MsoNormal>Applicant        is         the       entity   that            controls           or         operates            the       device  named in         the            Certificate,      even    if          the            device  is         <o:p></o:p></p></div><div><p class=MsoNormal>sending            the       actual  certificate            request.           "<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>I'm sure we can get into the game of debating whether 'applies for' is distinct from 'requests' (although I think that's not supported by the text itself, by virtue of the following sentence, but I'm sure we can misread it).<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>You asked if there was a reason to suggest the ordering must be different. My minimal suggestion was that the order must be:<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>- A Request, which includes the attestation of correctness (per 4.1.2)<o:p></o:p></p></div><div><p class=MsoNormal>- which establishes an Applicant (per 1.6.1)<o:p></o:p></p></div><div><p class=MsoNormal>- which then permits validation of the Applicant information (per 3.2)<o:p></o:p></p></div><div><p class=MsoNormal>- which can then be reused for subsequent Requests (per 4.2.1)<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>It would seem that you are advocating for an interpretation that establishes:<o:p></o:p></p></div><div><p class=MsoNormal>- An Applicant (by virtue of establishing an Applicant Representative - the party who has signed the Subscriber Agreement on behalf of the Applicant / acknowledges the TOU, per 1.6.1)<o:p></o:p></p></div><div><p class=MsoNormal>- which then permits validation of the Applicant information (per 3.2)<o:p></o:p></p></div><div><p class=MsoNormal>- Which then permits one or more Requests (per 4.1.2)<o:p></o:p></p></div><div><p class=MsoNormal>- Which then allows the validated information to be reused (per 4.2.1), or the reuse of a previously completed validation (per 3.2.2.4)<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Is that a correct summary of the difference?<o:p></o:p></p></div></div></div></div></div></body></html>