<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 19, 2017 at 4:30 PM, Jeremy Rowley via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div class="m_6894335237665938980WordSection1"><p class="MsoNormal">I’m looking to remove/fix both of these methods as both these methods lack the necessary controls to ensure that the verification ties to the domain holder. These methods probably should have been removed back when we passed 169/182. Would anyone being willing to endorse a ballot killing these or making some necessary improvements? </p></div></div></blockquote></div><br></div><div class="gmail_extra">Certainly, the concerns you raise with 3.2.2.4.5 are ones we shared, such as during the discussion in the Berlin F2F regarding the use of Delegated Third Parties for Domain Control Validation. During that discussion, we spent some time discussing how that particular validation method allows for a host of risks associated with issuance - and for the ambiguity as to how the CA appropriately validates the authenticity and the credentials.</div><div class="gmail_extra"><br></div><div class="gmail_extra">I'm not sure I share your optimism for 3.2.2.4.1 with respect to EV.</div><div class="gmail_extra"><br></div><div class="gmail_extra">In discussions about why site operators might want to limit what methods a CA can use to issue, these two methods are both examples of less than ideal methods, and so I'm thrilled to see others recognize it, while simultaneously disheartened at how many customers were validated through those methods.</div><div class="gmail_extra"><br></div><div class="gmail_extra">We'd be happy to endorse removal of both of those methods.</div></div>