<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 11, 2017 at 1:52 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_-3103558074600916092WordSection1"><p class="MsoNormal">I don’t understand why we are mixing creation of separate mailing list discussion for reporting BR violations with the revocation timeline change. The two aren’t closely related, at least, no more than any other BR violation and public disclosure requirement. Because certificate problem reporters are free to publish the problem report wherever they would like, I see a benefit in a publicly open list where people can post certificate problem reports and violations of policy to the CAB Forum.  I’d even support/endorse a separate ballot on creating a public mailing list where interested parties (or even non-interested parties) can discuss and report violations of the BRs and reasons for the violations. What I don’t understand is the tie to certificate revocation timelines ballot.</p></div></div></blockquote><div><br></div><div>Hi Jeremy,</div><div><br></div><div>Unfortunately, in the set of concerns, the substance was lost. So recapping from the earlier threads:</div><div><br></div><div><a href="https://cabforum.org/pipermail/public/2017-August/011881.html">https://cabforum.org/pipermail/public/2017-August/011881.html</a><br></div><div><a href="https://cabforum.org/pipermail/public/2017-August/011882.html">https://cabforum.org/pipermail/public/2017-August/011882.html</a><br></div><div><br></div><div>Summarize our early set of discussion, with the substance at</div><div><br></div><div><a href="https://cabforum.org/pipermail/public/2017-August/011895.html">https://cabforum.org/pipermail/public/2017-August/011895.html</a><br></div><div><br></div><div>Note that in these messages, the specific proposal was to keep the expectation at 24 hours (SHOULD), the requirement at 7 days (MUST), and require a disclosure (MUST) if it takes more than 24 hours. In the discussion ensuing, the updated ballot changed it to requiring disclosure if more than 7 days - e.g. a BR violation - but that wasn't the original proposal, nor the original concern.</div><div><br></div><div>Does that help clarify?</div></div></div></div>