<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 1, 2017 at 4:39 AM, Gervase Markham via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 01/09/17 05:40, Jeremy Rowley via Public wrote:<br>
> A revised version is attached. Additional comments and/or endorsements<br>
> are welcome!<br>
<br>
</span>We will endorse when the time comes; a couple of comments beforehand:<br>
<br>
4.9.5: c) says "alleging an issue other than key compromise", which<br>
could be construed to cover only a), thereby leaving b) in limbo a<br>
little bit. Suggestion: replace those words with "alleging any other<br>
problem with the certificate".<br>
<br>
4.9.5 has this new text: "If any ambiguity in these Requirements will<br>
<span class="">result in a delay of more than seven days in providing a final<br>
determination of a Certificate Problem Report, the CA SHALL first notify<br>
the CA/Browser Forum of the ambiguity by emailing <a href="mailto:questions@cabforum.org">questions@cabforum.org</a>."<br>
<br>
</span>I can sort of see what you are trying to do here, but this rather puts<br>
the CAB Forum in the role of "BR cop". Could we instead do something<br>
like: "If there is a delay of more than seven days in providing a final<br>
determination of a Certificate Problem Report, the CA SHALL explain the<br>
reason for the delay in the final report sent to the Subscriber and the<br>
filing entity." The filing entity then, of course, as the option of<br>
passing that on to a root program, the CAB Forum or anyone else.<br></blockquote><div><br></div><div>Hi Gerv,</div><div><br></div><div>I actually suggested this element of transparency, so happy to explain some of the rationale. I don't think the goal is to put the Forum into a BR cop, but much like 9.16.3, to better understand if there's ambiguity of text or interpretative differences. For example, consider Kirk's message on behalf of Entrust regarding punctuation characters in OU fields, which revealed some issues with the wording of the text - and which different CAs resolved differently. I actually think this is a good result for highlighting "Hey, we're not sure about X, could this be worded clearer?" as a possible result.</div><div><br></div><div>It's primarily about ensuring transparency in a way that's consistent - and the Forum is relevant because it feeds into our determination about ways to clarify text, while also providing a useful reference for auditors and CAs regarding root stores' interpretations (and ensuring there's no misalignment). I suggested questions@, because it's our only list that doesn't require any form of agreement or participation in the Forum at large - thus ensuring it's appropriate for all members. </div></div></div></div>