<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 4, 2017 at 5:27 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 01/09/17 18:58, Ryan Sleevi wrote:<br>
> It's primarily about ensuring transparency in a way that's consistent -<br>
> and the Forum is relevant because it feeds into our determination about<br>
> ways to clarify text, while also providing a useful reference for<br>
> auditors and CAs regarding root stores' interpretations (and ensuring<br>
> there's no misalignment). I suggested questions@, because it's our only<br>
> list that doesn't require any form of agreement or participation in the<br>
> Forum at large - thus ensuring it's appropriate for all members. <br>
<br>
</span>(This is not the first time we've encountered that issue; do we need a<br>
better-named "<a href="mailto:notifications@cabforum.org">notifications@cabforum.org</a>" email list?)<br>
<br>
I see what you are trying to do; perhaps it's the phrasing which is<br>
bugging me. Does this wording do the same thing that you are aiming for,<br>
or has it changed the meaning?<br>
<br>
"If any interpretation of these Requirements means that a CA believes it<br>
may permit, and does permit, more than seven days to elapse between<br>
receiving a Certificate Problem Report and providing a final<br>
determination, the CA SHALL notify the CA/Browser Forum of their<br>
interpretation by emailing <a href="mailto:questions@cabforum.org">questions@cabforum.org</a>."<br></blockquote><div><br></div><div>Thanks for highlighting this. I actually think Jeremy and I may have crossed wires. My intent was to set the following limits for determination:</div><div>- 24 hours under situations X, Y, Z</div><div>- 24 hours SHOULD for everything else</div><div>- 7 days MUST for everything else</div><div><br></div><div>With a "Anything > 24 hours requires a report"</div><div><br></div><div>That covers assessment</div><div><br></div><div>And then the actual revocation works as</div><div>- 24 hours under situations X, Y, Z</div><div>- 7 days MUST for everything else</div><div><br></div><div>With no report as to the timing of that revocation.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
But again, while I see what you are trying to do, how to we avoid the<br>
BRs filling up with text like:<br>
<br>
A) Do X.<br>
B) If any CA feels these Requirements can be interpreted to mean that<br>
they don't have to do X, they should email <a href="mailto:questions@cabforum.org">questions@cabforum.org</a>.<br>
C) Do Y.<br>
D) If any CA feels these Requirements can be interpreted to mean that<br>
they don't have to do X, they should email <a href="mailto:questions@cabforum.org">questions@cabforum.org</a>.<br>
...<br>
<br>
Why is there a unique need in this particular case for notification of<br>
interpretive "creativity"?<br></blockquote><div><br></div><div>I'm not sure I would go as far as to suggest it's interpretative "creativity" - I think we're discussing cases of ambiguity which may take time to resolve (e.g. the CA consulting with their auditors and/or the Forum), or for which systemic issues might exist. I think we're appreciative of the need to coordinate with subscribers and perhaps take additional steps (although it does mean that the effectiveness of revocation for is now 7d+7d+7d days rather than the current 24h+24h+7d), but I think we'd want to understand why any investigation _isn't_ cut and dry.</div><div><br></div><div>For example, if an OCSP Responder is reported as responding GOOD to non-issued certificates, that should be something the CA can investigate and report on within 24 hours. If the CA can't, that's concerning.</div><div><br></div><div>As to notification, I think any place we offer for purely CA discretion, we need transparency. So to the extent we allow for situations like "You should do X, unless you think you don't have to" - then I absolutely think a notification is appropriate. We have that true for Severability (and for good reason), and I think we would also want that for security incident reporting. Are there other places you think CAs should be left to subjectively evaluate rather than work on objective criteria?</div></div></div></div>