
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p


        {mso-style-priority:99;


        mso-margin-top-alt:auto;


        margin-right:0cm;


        mso-margin-bottom-alt:auto;


        margin-left:0cm;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0cm;


        mso-margin-bottom-alt:auto;


        margin-left:0cm;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


span.EmailStyle19


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;


        mso-fareast-language:EN-US;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:70.85pt 70.85pt 70.85pt 70.85pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="NO-BOK" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">I will endorse for Buypass.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Regards<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Mads<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Jacob Hoffman-Andrews [mailto:jsha@letsencrypt.org]


<br>


<b>Sent:</b> fredag 25. august 2017 00:01<br>


<b>To:</b> Phillip <philliph@comodo.com>; CA/Browser Forum Public Discussion List <public@cabforum.org><br>


<b>Cc:</b> Ryan Sleevi <sleevi@google.com>; Mads Egil Henriksveen <Mads.Henriksveen@buypass.no><br>


<b>Subject:</b> Re: [cabfpub] FW: [Errata Held for Document Update] RFC6844 (5065)<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">This looks good, and I will endorse for Let's Encrypt. Do we have another endorser present? I'd like to get this to a ballot quickly to minimize any end-user confusion over the specifics.<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.5pt">One small tweak to the new text:</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.5pt">> As part of the issuance process, the CA MUST check for a CAA record for each dNSName in the subjectAltName extension of the certificate to be issued, according to the procedure in RFC 6844 as amended by Errata


 5065 (Appendix A), following the processing instructions set down in RFC 6844 for any records found. If the CA issues, they MUST do so within the TTL of the CAA record, or 8 hours, whichever is greater.</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.5pt">Since this references 6844 twice, it's slightly ambiguous. I would instead just reference it once:</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.5pt">> As part of the issuance process, the CA MUST check for a CAA record for each dNSName in the subjectAltName extension of the certificate to be issued, according to the procedure in RFC 6844 as amended by Errata


 5065 (Appendix A). If the CA issues, they MUST do so within the TTL of the CAA record, or 8 hours, whichever is greater.</span><o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On Wed, Aug 23, 2017 at 10:12 AM, Phillip via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">I am just working on wording for a proposal.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">Proposal: Modify the Baseline Requirements v1.4.9 as follows:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">3.2.2.8. CAA Records<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">Change:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">As part of the issuance process, the CA MUST check for a CAA record for each dNSName in the subjectAltName extension of the certificate to be issued, according


 to the procedure in RFC 6844, following the processing instructions set down in RFC 6844 for any records found. If the CA issues, they MUST do so within the TTL of the CAA record, or 8 hours, whichever is greater.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">To:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">As part of the issuance process, the CA MUST check for a CAA record for each dNSName in the subjectAltName extension of the certificate to be issued, according


 to the procedure in RFC 6844 as amended by Errata 5065 (Appendix A), following the processing instructions set down in RFC 6844 for any records found. If the CA issues, they MUST do so within the TTL of the CAA record, or 8 hours, whichever is greater.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">Add the following<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">Appendix A:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<div>


<div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-US">The following errata report has been held for document update for RFC6844, "DNS Certification Authority Authorization (CAA) Resource Record".<br>


<br>


--------------------------------------<br>


You may review the report below and at:<br>


<a href="http://www.rfc-editor.org/errata/eid5065" target="_blank">http://www.rfc-editor.org/errata/eid5065</a><br>


<br>


--------------------------------------<br>


Status: Held for Document Update<br>


Type: Technical<br>


<br>


Reported by: Phillip Hallam-Baker <<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>> Date Reported: 2017-07-10 Held by: EKR (IESG)<br>


<br>


Section: 4<br>


<br>


Original Text<br>


-------------<br>


   Let CAA(X) be the record set returned in response to performing a CAA<br>


   record query on the label X, P(X) be the DNS label immediately above<br>


   X in the DNS hierarchy, and A(X) be the target of a CNAME or DNAME<br>


   alias record specified at the label X.<br>


<br>


   o  If CAA(X) is not empty, R(X) = CAA (X), otherwise<br>


<br>


   o  If A(X) is not null, and R(A(X)) is not empty, then R(X) =<br>


      R(A(X)), otherwise<br>


<br>


   o  If X is not a top-level domain, then R(X) = R(P(X)), otherwise<br>


<br>


   o  R(X) is empty.<br>


<br>


Corrected Text<br>


--------------<br>


   Let CAA(X) be the record set returned in response to performing a CAA<br>


   record query on the label X, P(X) be the DNS label immediately above<br>


   X in the DNS hierarchy, and A(X) be the target of a CNAME or DNAME<br>


   alias record chain specified at the label X.<br>


<br>


   o  If CAA(X) is not empty, R(X) = CAA (X), otherwise<br>


<br>


   o  If A(X) is not null, and CAA(A(X)) is not empty, then R(X) =<br>


      CAA(A(X)), otherwise<br>


<br>


   o  If X is not a top-level domain, then R(X) = R(P(X)), otherwise<br>


<br>


   o  R(X) is empty.<br>


<br>


  Thus, when a search at node X returns a CNAME record, the CA will<br>


  follow the CNAME record chain to its target. If the target label<br>


  contains a CAA record, it is returned.<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-US">  Otherwise, the CA continues the search at<br>


  the parent of node X.<br>


<br>


  Note that the search does not include the parent of a target of a<br>


  CNAME record (except when the CNAME points back to its own path).<br>


<br>


  To prevent resource exhaustion attacks, CAs SHOULD limit the length of<br>


  CNAME chains that are accepted. However CAs MUST process CNAME<br>


  chains that contain 8 or fewer CNAME records.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Public [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>]


<b>On Behalf Of </b>Ryan Sleevi via Public<br>


<b>Sent:</b> Wednesday, August 23, 2017 10:04 AM<br>


<b>To:</b> Mads Egil Henriksveen <<a href="mailto:Mads.Henriksveen@buypass.no" target="_blank">Mads.Henriksveen@buypass.no</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>


<b>Subject:</b> Re: [cabfpub] FW: [Errata Held for Document Update] RFC6844 (5065)<o:p></o:p></span></p>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">As currently required by the Forum, as specified in 6844.<o:p></o:p></span></p>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">Held for document update means just that - a future version of CAA may adjust the processing rules, consistent with the IETF process. It was not rejected - that


 is, there was sufficient consensus that it wasn't an outright bad idea - but it's not formally adopted.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">However, this does give the Forum something somewhat-stable and reflecting broad-consensus and public participation to consider requiring in the interim, through


 a subsequent ballot, which would have the effect of 'relaxing' certain provisions of CAA. That is, should a member propose such a ballot, and should the Forum adopt it, this could be integrated - much as we have things such as non-critical nameConstraints


 to work around since-resolved vendor issues.<o:p></o:p></span></p>


</div>


</div>


</div>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


<div>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">On Wed, Aug 23, 2017 at 5:31 AM, Mads Egil Henriksveen via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<o:p></o:p></span></p>


</div>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0cm;margin-bottom:5.0pt">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US">Hi<br>


<br>


What does this mean for us who are in the process of implementing support for CAA?<br>


<br>


Do we implement the CAA processing rules according to this errata or do we need to comply with the current version of RFC6844?<br>


<br>


Regards<br>


Mads<o:p></o:p></span></p>


</div>


</div>


<div>


<div>


<div>


<div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-US"><br>


-----Original Message-----<br>


From: Public [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>] On Behalf Of Phillip via Public<br>


Sent: tirsdag 22. august 2017 22:15<br>


To: 'CA/Browser Forum Public Discussion List' <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>


Subject: [cabfpub] FW: [Errata Held for Document Update] RFC6844 (5065)<br>


<br>


We have held for document update!<br>


<br>


<br>


-----Original Message-----<br>


From: RFC Errata System [mailto:<a href="mailto:rfc-editor@rfc-editor.org" target="_blank">rfc-editor@rfc-editor.org</a>]<br>


Sent: Tuesday, August 22, 2017 12:58 PM<br>


To: <a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>;


<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>; <a href="mailto:rob.stradling@comodo.com" target="_blank">


rob.stradling@comodo.com</a><br>


Cc: <a href="mailto:ekr@rtfm.com" target="_blank">ekr@rtfm.com</a>; <a href="mailto:iesg@ietf.org" target="_blank">


iesg@ietf.org</a>; <a href="mailto:pkix@ietf.org" target="_blank">pkix@ietf.org</a>;


<a href="mailto:rfc-editor@rfc-editor.org" target="_blank">rfc-editor@rfc-editor.org</a><br>


Subject: [Errata Held for Document Update] RFC6844 (5065)<br>


<br>


The following errata report has been held for document update for RFC6844, "DNS Certification Authority Authorization (CAA) Resource Record".<br>


<br>


--------------------------------------<br>


You may review the report below and at:<br>


<a href="http://www.rfc-editor.org/errata/eid5065" target="_blank">http://www.rfc-editor.org/errata/eid5065</a><br>


<br>


--------------------------------------<br>


Status: Held for Document Update<br>


Type: Technical<br>


<br>


Reported by: Phillip Hallam-Baker <<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>> Date Reported: 2017-07-10 Held by: EKR (IESG)<br>


<br>


Section: 4<br>


<br>


Original Text<br>


-------------<br>


   Let CAA(X) be the record set returned in response to performing a CAA<br>


   record query on the label X, P(X) be the DNS label immediately above<br>


   X in the DNS hierarchy, and A(X) be the target of a CNAME or DNAME<br>


   alias record specified at the label X.<br>


<br>


   o  If CAA(X) is not empty, R(X) = CAA (X), otherwise<br>


<br>


   o  If A(X) is not null, and R(A(X)) is not empty, then R(X) =<br>


      R(A(X)), otherwise<br>


<br>


   o  If X is not a top-level domain, then R(X) = R(P(X)), otherwise<br>


<br>


   o  R(X) is empty.<br>


<br>


Corrected Text<br>


--------------<br>


   Let CAA(X) be the record set returned in response to performing a CAA<br>


   record query on the label X, P(X) be the DNS label immediately above<br>


   X in the DNS hierarchy, and A(X) be the target of a CNAME or DNAME<br>


   alias record chain specified at the label X.<br>


<br>


   o  If CAA(X) is not empty, R(X) = CAA (X), otherwise<br>


<br>


   o  If A(X) is not null, and CAA(A(X)) is not empty, then R(X) =<br>


      CAA(A(X)), otherwise<br>


<br>


   o  If X is not a top-level domain, then R(X) = R(P(X)), otherwise<br>


<br>


   o  R(X) is empty.<br>


<br>


  Thus, when a search at node X returns a CNAME record, the CA will<br>


  follow the CNAME record chain to its target. If the target label<br>


  contains a CAA record, it is returned.<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><span lang="EN-US">  Otherwise, the CA continues the search at<o:p></o:p></span></p>


<div>


<div>


<p class="MsoNormal"><span lang="EN-US"><br>


  the parent of node X.<br>


<br>


  Note that the search does not include the parent of a target of a<br>


  CNAME record (except when the CNAME points back to its own path).<br>


<br>


  To prevent resource exhaustion attacks, CAs SHOULD limit the length of<br>


  CNAME chains that are accepted. However CAs MUST process CNAME<br>


  chains that contain 8 or fewer CNAME records.<br>


<br>


Notes<br>


-----<br>


This is the updated errata to replace the ones previously deleted. It has been reviewed by all the parties concerned. Since this is a breaking change, this will have to go to hold for document update. The LAMPS working group is currently considering a more


 radical re-working of the CAA discovery scheme as a work item for its new charter.<br>


<br>


I will be in Prague to discuss...<br>


<br>


--------------------------------------<br>


RFC6844 (draft-ietf-pkix-caa-15)<br>


--------------------------------------<br>


Title               : DNS Certification Authority Authorization (CAA) Resource Record<br>


Publication Date    : January 2013<br>


Author(s)           : P. Hallam-Baker, R. Stradling<br>


Category            : PROPOSED STANDARD<br>


Source              : Public-Key Infrastructure (X.509)<br>


Area                : Security<br>


Stream              : IETF<br>


Verifying Party     : IESG<br>


<br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></span></p>


</div>


</div>


</div>


</div>


</blockquote>


</div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-US"> <o:p></o:p></span></p>


</div>


</div>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>


</blockquote>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</body>


</html>