<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 15, 2017 at 2:49 PM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 15/11/17 11:34, Ryan Sleevi wrote:<br>
> Another option is to introduce some further signal to indicate that<br>
> 'this' SRVName is safe to trust. This was the proposal I sketched out<br>
> for you.<br>
<br>
</span>Yes, I understand. How is that proposal to be progressed?<br></blockquote><div><br></div><div>I believe several members had, at one time or another, written more formalized proposals or explored the space. I believe Phillip Hallam-Baker, formerly of Comodo (the CA), and now, as I understand it, part of Comodo Group, which has applied for membership as a browser following selling off their CA arm to an investment group, had written up something more formal in the past.</div><div><br></div><div>The IETF's LAMPS WG ( <a href="https://tools.ietf.org/wg/lamps/">https://tools.ietf.org/wg/lamps/</a> ) would be the recommended standards-defining-organization.</div><div><br></div><div>What would it take? Investment/time commitment from members of the Forum to engage within the IETF (and its IPR policy regarding contributions), and help develop an interoperable solution that addresses concerns both on the CA and client side.</div><div><br></div><div>I know we'd be more than happy to engage in supporting and reviewing such efforts :)</div><div><br></div><div>An alternative solution - though one I'd discourage - would be to standardize simply within the CA/Browser Forum, as we did with the Onion extension for EV certificates. Unfortunately, that limits the ability for public/broad participation (and this concern is not solely limited to the CA/B Forum, unlike the EV issuance practice), hence why I'd discourage it.</div></div></div></div>