
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Titel" content="">


<meta name="Stichwörter" content="">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.E-Mail-Formatvorlage17


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


span.msoIns


        {mso-style-type:export-only;


        mso-style-name:"";


        text-decoration:underline;


        color:teal;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:595.0pt 842.0pt;


        margin:70.85pt 70.85pt 2.0cm 70.85pt;}


div.WordSection1


        {page:WordSection1;}


--></style>


</head>


<body bgcolor="white" lang="DE" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">It also means that a crime favours another crime, and that is exactly how criminals are caught, because they leave their mark, the more so, the better, because it makes it easier to get to the bottom


 of it. If you were to skip steps now, you would also deprive yourself of opportunities to hunt down criminals.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">Von: </span></b><span style="font-size:12.0pt;color:black">Public <public-bounces@cabforum.org> im Auftrag von Ryan Sleevi via Public <public@cabforum.org><br>


<b>Antworten an: </b>Ryan Sleevi <sleevi@google.com>, CA/Browser Forum Public Discussion List <public@cabforum.org><br>


<b>Datum: </b>Dienstag, 28. November 2017 um 19:26<br>


<b>An: </b>Ben Wilson <ben.wilson@digicert.com>, CA/Browser Forum Public Discussion List <public@cabforum.org><br>


<b>Betreff: </b>Re: [cabfpub] Obtaining an EV cert for phishing<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Just to square these comments: <o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Kirk's position was that EV certificates provide a way of tracking those who'd commit crime online because they have to disclose identity.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">Gerv and James pointed out that the identity information is only as useful as it is vetted, and there's scenarios where the vetting may not be rigorous.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">Ben pointed out that it'd be a crime to lie to the government (although, as a broad statement, this varies by jurisdiction)<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">By combining these views, it seems like we're in agreement that criminals who are willing to commit crime may need to commit crime to commit crime. That doesn't seem like the requirement to commit crime would deter a criminal from committing


 crime, but what do I know - I'm not a criminal (I don't think...)<o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On Tue, Nov 28, 2017 at 12:50 PM, Ben Wilson via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<p class="MsoNormal">Gerv wrote: I would say that the EV Guidelines allow EV issuers to trust things which are QGISes because there's an assumption that information in a Government information source will have had some level of checking.<br>


<br>


I'd disagree.  QGISes are relied upon because everyone relies on them because lying to the government is a crime.<o:p></o:p></p>


<div>


<div>


<p class="MsoNormal"><br>


<br>


-----Original Message-----<br>


From: Public [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>] On Behalf Of Gervase Markham via Public<br>


Sent: Tuesday, November 28, 2017 10:46 AM<br>


To: Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com">Kirk.Hall@entrustdatacard.com</a>>; James Burton <<a href="mailto:james@sirburton.com">james@sirburton.com</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>


Subject: Re: [cabfpub] Obtaining an EV cert for phishing<br>


<br>


Hi Kirk,<br>


<br>


On 28/11/17 17:03, Kirk Hall wrote:<br>


> Thanks for the additional information, James.  In the end, the EV<br>


> Guidelines did exactly what they were designed to do – they provided a<br>


> way for the public to find you (as the company owner) if you used your<br>


> EV certificate and domain to do something wrong.<br>


<br>


They did, but only because he was honest. He is pointing out that it may not be difficult, due to the lack of checking, for a dishonest person to use fake information. I do think that's an issue of concern.<br>


<br>


I would say that the EV Guidelines allow EV issuers to trust things which are QGISes because there's an assumption that information in a Government information source will have had some level of checking. But it seems from this experience that this is not true


 in all cases. That concerns me. Do we have to agree that Companies House is not a valid QGIS?<br>


<br>


This is not a phishing issue, it's a more general "integrity of the EV process" issue.<br>


<br>


Gerv<br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>


</div>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>


</blockquote>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</body>


</html>