<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Let's Encrypt votes YES to ballot 208.</div><div class="gmail_quote"><br></div><div class="gmail_quote">On Fri, Oct 20, 2017 at 3:17 PM, Peter Bowen via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div>> We could move to serialNumber or assign new object identifier which can be used for this purpose, but is would have no more meaning than dnQualifier for all known implementations.  I did not find any place where dnQualifier had any semantics in applications when I looked.</div></div></blockquote><div><br></div><div>Let's Encrypt has considered serial number for this purpose, but concluded that even though nothing really uses it, it's a slight misuse of the intended semantics of serial number in the Subject. My understanding is that it is more typically intended to represent the serial number of a piece of computing equipment, rather than, e.g., a certificate or a grouping of names. I think dnQualifier is well suited for this purpose.</div><div><br></div><div>This ballot does solve a real and present problem for us, as described above: issuing certificates for domain names longer than 64 characters. It also allows CAs to start issuing certificates with no CommonName attribute that are broadly usable. This is nice because domain names in CommonName have been deprecated for a very long time now, but there hasn't been any practical progress towards eliminating them.</div></div></div></div>