<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 18, 2017 at 11:02 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 13/09/17 21:01, Ryan Sleevi via Public wrote:<br>
> So it seems reasonable - and important - to bring transparency to that.<br>
<br>
</span>How about this? The BRs require that there be a report and that it be<br>
published (somewhere) - mandating transparency. And we can make a<br>
Mozilla root program requirement that "the report produced by the CA<br>
under section X.X.X of the BRs should be posted to m.d.s.p." or similar.<br>
<br>
That keeps the BRs in their place without overreaching, doesn't require<br>
the CABF to be an accumulator of information, and yet also makes sure<br>
all the reports end up in an analyzable place.<br>
<br>
Does that work?<br></blockquote><div><br></div><div>Hi Gerv,</div><div><br></div><div>I appreciate your suggestion of a solution, but I'm not quite sure I understand your concerns. Apologies for that, but it would be great if you could elaborate why you feel it may be "overreaching". I had hoped my explanation provided context how it's both relevant and applicable to the activities of the CA/Browser Forum, and independent of any particular Root Stores perspective.</div><div><br></div><div>As you personally known from efforts related to disclosures of CP, CPS, and issued certificates, simply mandating transparency (for example, of CAA domains, or of issued certificates) has been shown to be fundamentally insufficient for the needs, hence why Mozilla has done things such as require disclosure via its CA communications or the CCADB.</div><div><br></div><div>In this context, I think it's useful to consider what is fundamentally a very simple proposal:</div><div>- the CA/B Forum can establish a list that allows publishing of such reports</div><div>- The Baseline Requirements require posting such results to that list</div><div><br></div><div>This allows the CA/B Forum to affirmatively self-regulate in this respect - no external dependencies on other parties - while also providing a consistent and reliable technical solution to achieving that transparency.</div><div><br></div><div>This seems very simple and easy, and given Mozilla's efforts for broader transparency and greater consistency, uncontroversial, so I'm sure there must be some concern of yours that I'm not understanding. </div></div><br></div></div>