<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">As most of you know, the EU’s GDPR privacy regulation takes effect May 25.  This has caused ICANN to reexamine its requirements for registries and registrars on displaying WhoIs domain registration data, which CAs use to validation domain
 ownership or control by domain owners to issue SSL/TLS certificates.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The subject has been a difficult one, and the deadline is fast approaching.  ICANN has released a Proposed Interim Plan for GDPR Compliance, and is asking for comments:
<a href="https://www.icann.org/news/blog/data-protection-privacy-update-seeking-input-on-proposed-interim-model-for-gdpr-compliance">
https://www.icann.org/news/blog/data-protection-privacy-update-seeking-input-on-proposed-interim-model-for-gdpr-compliance</a>  Here is the draft interim plan:<o:p></o:p></p>
<p class="MsoNormal"><a href="https://www.icann.org/en/system/files/files/proposed-interim-model-gdpr-compliance-summary-description-28feb18-en.pdf">https://www.icann.org/en/system/files/files/proposed-interim-model-gdpr-compliance-summary-description-28feb18-en.pdf</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have invited Francisco Arias, <span style="color:#333333;background:white">
Sr. Director, GDD Technical Services for ICANN</span>, to be on our Thursday teleconference call and provide a high level overview of the Interim Plan.  Francisco has told me that the Plan posted to the ICANN website is only a draft and may change.  He also
 said the Plan includes the concept of allowing certain parties, such as law enforcement and others, to have continued access to WhoIs data after the GDPR takes effect,
<u>but the Interim Plan does not yet include specific access to the data for CAs.</u>  Francisco suggested the Forum and its members should post
<u>comments</u> (including a request for continued data access in the Interim Plan) to the address for comments on the Interim Plan,
<a href="mailto:gdpr@icann.org">gdpr@icann.org</a>.  I will certainly post a request for continued access for the CA/Browser Forum members, but others may also want to do so.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">On our call, Francisco will also be asking for CA volunteers to work on a pilot program using RDAP for differentiated access to domain registration data instead of WhoIs, as only RDAP can really provide different levels of access.  I will
 leave it to Francisco to describe the pilot project and how CAs can volunteer.  Again, the time frame is very short.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I also invited Andrew Sullivan of Oracle/DYN to be on our call, as he has been following these ICANN discussions for many months, and previously briefed us on what was happening.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I should note that I have been participating in an ICANN policy committee GNSO-RDS-PDP-Drafting Team 3 to explain the need for CAs to have continuing access to WhoIs data, and I believe that point of view was included in their report. 
 Unfortunately, it turns out that Drafting Team 3 is working on part of a <u>long term</u> plan for data access and the Team’s recommendations were not received or considered by the ICANN group that is drafting the Interim Plan – so we need to make the case
 again.  My basic suggestion was that ICANN should use the list of trusted roots/CAs in CCADB,
<a href="https://ccadb.org/resources">https://ccadb.org/resources</a>, and instruct registries/registrars to give the CAs on that list continuing access to registration data via whitelist (and then let the CAs themselves sort out how they comply with GDPR rules,
 which for most will not apply to the majority of their certificate customers who are either outside the EU or not natural persons).<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Finally – I include a link to a recent article on this situation.  Note:  I am NOT endorsing the point of view in the article, but it provides a lot of information and may be useful to members. 
<o:p></o:p></p>
<p class="MsoNormal"><a href="http://www.circleid.com/posts/20180330_icann_cannot_expect_the_dpas_to_re_design_whois/">http://www.circleid.com/posts/20180330_icann_cannot_expect_the_dpas_to_re_design_whois/</a>
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>