<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 13, 2017 at 2:52 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_382295824088791835WordSection1"><p class="MsoNormal">I agree with the goal of getting this information out there, and using the CAB Forum this way seems in scope. Per the bylaws: “<span style="font-family:"Arial",sans-serif">Members of the CA/Browser Forum have worked closely together in defining the guidelines and means of implementation for best practices as a way of providing a heightened security for Internet transactions and creating a more intuitive method of displaying secure sites to Internet users.” (Section 1)</span><b><span lang="EN" style="font-family:"Arial",sans-serif;color:black"><u></u><u></u></span></b></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">However, I’m struggling to see why the CAB Forum would want to collect this info as a requirement rather than allowing CAs to submit the information voluntarily when there are questions.  Usually, we require the location of the disclosure be set in the CPS/CP, not as an email to the CAB Forum.  Shouldn’t we follow that format here?</p></div></div></blockquote><div><br></div><div>Because this is an industry problem - and it's one that is either facilitated by or stymied by the collective Baseline Requirements and Root Program Requirements.</div><div><br></div><div>Our goals in Internet Security should be to establish a consistent baseline in the application of policies and practices. While we can disclose those in CP/CPS, that doesn't do anything to align consistency or promote information sharing. What we're discussing about is sharing information related to the challenges of adhering to the minimum required policies and practices, so we can improve both.</div></div><br></div></div>