<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 13, 2017 at 2:14 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_5312516549061820782WordSection1"><p class="MsoNormal">If we’re trying to require transparency, I’d rather see a requirement to publish all certificate problem reports within 24 hours, regardless of resolution. First, this accomplishes the goal in a more straight-forward manner. Second, publication separates the transparency goal from the resolution timeline frames. <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">24 hours to publish<u></u><u></u></p><p class="MsoNormal">24-7 days to investigate/fix<u></u><u></u></p><p class="MsoNormal">24-7 days to revoke<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">The other question is where should these be published.  The CAB Forum questions list seems like the wrong place. The CAB Forum isn’t the mis-issuance police (the browsers are).  The questions list in particular is intended for third party questions about the CAB Forum requirements. The Mozilla dev list is a better place to publish. If that’s the case, wouldn’t a publication of certificate problem reports be better presented as a Mozilla root store requirement?</p></div></div></blockquote><div><br></div><div>I think that's conflating publication with response, and I think it presupposes that response only originates from the root program side.</div><div><br></div><div>Note I didn't suggest the goal of transparency was to facilitate the misissuance police - it was to promote information sharing and disclosure to allow improved policies, practices, and guidelines. And that very much seems a CA/B Forum activity. Whether or not there is (separately) a conversation about misissuance does seem like something for policy enforcement and not necessarily the remit of the CA/B Forum.</div></div></div></div>