<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 21, 2017 at 1:38 PM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 20/09/17 01:26, Ryan Sleevi wrote:<br>
> I appreciate your suggestion of a solution, but I'm not quite sure I<br>
> understand your concerns. Apologies for that, but it would be great if<br>
> you could elaborate why you feel it may be "overreaching". I had hoped<br>
> my explanation provided context how it's both relevant and applicable to<br>
> the activities of the CA/Browser Forum, and independent of any<br>
> particular Root Stores perspective.<br>
<br>
</span>That was responding to a point made by you; you said it might be<br>
inappropriate for the CAB Forum to require posting to m.d.s.p. And I<br>
agree - it's outside the CAB Forum's remit. This is what I meant by the<br>
"overreaching" I was avoiding. My proposed solution is that the BRs<br>
require the existence of the report, and the root program requirements<br>
say where it needs to be placed.<br></blockquote><div><br></div><div>Do you see a problem with the BRs requiring it be posted to a CABF list? That is, could you elaborate on what the advantages are of having multiple root programs require disclosure versus providing a central clearing house?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
> In this context, I think it's useful to consider what is fundamentally a<br>
> very simple proposal:<br>
> - the CA/B Forum can establish a list that allows publishing of such reports<br>
> - The Baseline Requirements require posting such results to that list<br>
<br>
</span>I'm ambivalent. It's one more thing for a CA to remember to do, and as<br>
a root program person who will be requiring them to be sent to me<br>
anyway, it doesn't add value for me. But I have no strong objection :-)<br></blockquote><div><br></div><div>I see - so your position is that even in the existence of a mechanism to centrally disclose such events, you would still require independent disclosure?</div><div><br></div><div>Would you agree that there is separate value from having a root store disclosure (which can affect how the root program itself behaves with respect to a particular member) versus having an open, public disclosure in a vendor-neutral way (which can allow for improvements to the BRs and identifying problematic scenarios in a vendor-neutral way)? </div></div></div></div>