<div dir="ltr">I saw on the draft agenda, sent around on the 27th for last week's call, included "Membership Application of Comodo Security Solutions, Inc. (as a browser)".<div><br></div><div>I know it will take some time for the minutes of the call to be posted with the result of Comodo's application, but this seemed like a significant application that merits public discussion.<br clear="all"><div><br></div><div><div>The Bylaws don't apply any rules about market share or other indicators of significance to the marketplace:</div><div><a href="https://cabforum.org/wp-content/uploads/CA-Browser-Forum-Bylaws-v.-1.7.pdf">https://cabforum.org/wp-content/uploads/CA-Browser-Forum-Bylaws-v.-1.7.pdf</a><br></div><div><br></div><div>The entirety of the eligibility clause for Browsers states: "The member organization produces a software product intended for use by the general public for browsing the Web securely."</div></div><div><br></div><div>The CA eligibility clause is significantly more constrained, in particular in that the certificates have to be recognized by Browser members. However, this makes the set of Browser members even more important in determining eligibility of CAs.</div><div><br></div><div><div>Comodo appears to publish two browsers, Dragon and IceDragon, based on Chromium and Firefox, respectively: <a href="https://www.comodo.com/home/browsers-toolbars/internet-products.php">https://www.comodo.com/home/browsers-toolbars/internet-products.php</a> </div><div><br></div><div>They don't appear to operate a root program or exercise independent discretion about what CAs are trusted on their platform in any visible way, they've never participated as a browser in any significant public conversations about the Web PKI that I've seen, and their market share appears to be negligible from all available public data.</div></div><div><br></div><div>But the Bylaws would seem to allow Comodo to join as a browser, which I think would significantly undermine the entire point of the Forum -- as well as potentially open a floodgate of applications from more marginal or almost-fictional browsers.</div><div><br></div><div>For a quick glance at how many browsers theoretically could join the Forum under the current bylaws, a long list of them can be in these daily-updated feeds of browsers (as their user agent appears in Google Analytics) that have at least 10 visits over 90 days to government properties:</div><div><br></div><div><a href="https://analytics.usa.gov/data/live/browsers.csv">https://analytics.usa.gov/data/live/browsers.csv</a><br></div><div><a href="https://analytics.usa.gov/data/live/browsers.json">https://analytics.usa.gov/data/live/browsers.json</a><br></div><div><br></div><div>Market share may or may not be the right threshold, and I don't have some specific text to suggest off the top of my head -- but it does feel like a discussion is merited about whether the Bylaws around browser eligibility adequately capture the intent of the Forum.</div><div><br></div><div>-- Eric</div><div><br></div>-- <br><div class="gmail-m_6917345533354075818gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br></div></div></div></div></div></div></div>
</div></div>