
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.EmailStyle17


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Now you have me confused – Google (and later Microsoft and Apple) have published messages to CAs saying, in essence, “it’s ok for CAs not to comply with Ballot


 187 and BR Version 1.4.3”, but you are saying it’s not ok for the Forum to do the same thing by a new ballot that applies back to the effective date stated in Ballot 187 (Sept. 8, 2017). 


<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">That makes absolutely no sense – the two situations should be treated the same, and in fact I would say the Forum has the greater ability to excuse non-compliance


 with BR 3.2.2.8 than the browsers do via a new ballot.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Ryan Sleevi [mailto:sleevi@google.com]


<br>


<b>Sent:</b> Tuesday, September 26, 2017 10:01 PM<br>


<b>To:</b> Kirk Hall <Kirk.Hall@entrustdatacard.com><br>


<b>Cc:</b> CA/Browser Forum Public Discussion List <public@cabforum.org><br>


<b>Subject:</b> Re: [EXTERNAL]Re: [cabfpub] Voting has started on Ballot 214 - CAA Discovery CNAME Errata<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On Wed, Sep 27, 2017 at 1:40 PM, Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>> wrote:<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Just to clarify, Ryan – the “standards” (here, RFC 6844 and the following Errata) have nothing to do


 with the Forum, and are set by the IETF.  As you know, many RFCs are adopted, but then never applied by the community.</span><o:p></o:p></p>


</div>


</div>


</blockquote>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Sure, but this is not relevant or germane to the discussion :) I'm afraid you've greatly misunderstood the concerns here, but I look forward to working with you so that we can end up on the same page and with a shared understanding of the


 problems with your suggestions.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"> <o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Here, the problem is that the Forum chose to apply the first version of the IETF’s RFC 6844 to the


 activities of its CA members, and made it mandatory on CAs as of September 8, 2017 via Ballot 187 last March, now encoded (by us) in our own BR 3.2.2.8.</span><o:p></o:p></p>


</div>


</div>


</blockquote>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Specifically - and I think this is an important point that was previously mistated - it is not Ballot 187 that marks adoption, but rather, the publication of BRs 1.4.3 at the completion of the IP Review period. The completion of the Ballot


 does not represent a binding until the IPR has completed and a new version published.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">This is perhaps more easily demonstrated by the fact that 1.5.0, 1.5.1, and 1.5.2 are all currently under the IP Review, which means that the 'in-force' version is 1.4.9<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"> <o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Sadly, RFC 6844 was deeply flawed, which we only discovered this month.  It would be very strange if


 the Forum now lacked the power to modify its own previous ballot that made CAA checking mandatory (using what we now realize was a flawed RFC) to a different, corrected mandate that is applied retroactively to the date of the mandate.  </span><o:p></o:p></p>


</div>


</div>


</blockquote>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">No, it's not strange. I am telling you that is exactly how it works. Which is, incidentally, why I have repeatedly raised concerns with the problem of "we'll fix it subsequently" - that fails to address the meaningful concerns, and leaving


 ambiguous text in the BRs (with interpretations offered on the list) is actively hostile to non-participants and detrimental to the Forum's efforts of being a productive venue for discussion.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">The Forum adopted something with good intentions, but with a flaw - and these things happen. We can - and should - correct the language in an unambiguous way to resolve this. However, because the Forum adopted the flawed ballot - we are


 absolutely bound by it. That means that CAs that issue such certificates are non-compliant with the BRs.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">To the extent this results in a qualified audit is, of course, dependent upon individual auditors, and their evaluation of the CA's controls relative to the trust service principles and criteria. The Forum cannot declare something as immaterial,


 no more than the Forum declares a finding material - it provides input to the auditors as a secondary source relative to their professional and ethical obligations.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"> <o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">The Forum is not trying to modify the RFC 6844 “standard” – the standard sits on its own at the IETF. 


 Instead, the Forum is considering common sense changes to the rules the Forum itself adopted to make RFC 6844  mandatory on CAs, in order that CAA record checking will actually work and CAs won’t fail their WebTrust audits for no good reason. </span><o:p></o:p></p>


</div>


</div>


</blockquote>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Indeed, and we are fully supportive of those efforts going forward.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I am, however, highlighting that the Forum modifying the BRs does not provide the ability to redefine past non-compliance as compliance. I want to make sure this is clear and unambiguous, as unfortunately, despite repeated efforts spanning


 years of discussion, this is still a routine suggestion of yours.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Certainly we have the power to do this, and it has nothing to do with IETF or standards setting bodies


 – it is related instead to the Forum’s original choice of best practices for itself from all the possible standards out there, in a way that can then be checked by WebTrust and ETSI auditors.  We created this requirement for ourselves, so we certainly can


 modify it now.</span><o:p></o:p></p>


</div>


</div>


</blockquote>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I'm afraid you've greatly misunderstood the concern, and look forward to working together to adopt a better understanding. I fear this misunderstanding has significantly detracted from the core objection, which I reiterate here:<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">1) The Forum cannot redefine non-compliance for the past. It can only speak to the future.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">  - Any attempt to try to grant retroactive 'immunity' - to redefine past-non-compliance as compliance - is unacceptable, both as a matter of policy and to the legitimacy of the Forum.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">  - If it is not immediately and completely obvious, then again, I reiterate the risk that the same logic applies to <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">2) While such decisions of the Forum can inform and support the work of WebTrust and ETSI, those documents are themselves independent of the Forum's Baseline Requirements. That is, they build upon the principles and criteria captured within


 the BRs into forms appropriate for auditing. That is, they are independent of the BRs - and the BRs are not their One True Source.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">3) Qualified audits are not the end of the world. Auditors absolutely should be noting matters of non-compliance, and as to whether they determined said non-compliance to be non-material (and if so, the facts surrounding such determination


 and whether said facts are fairly stated by management)<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">These principles apply regardless of the specific ballot. The Forum cannot, and must not (to maintain it's legitimacy), attempt to pass a ballot that states something is retroactively compliant.<o:p></o:p></p>


</div>


</div>


</div>


</div>


</div>


</body>


</html>