
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0cm;


        mso-margin-bottom-alt:auto;


        margin-left:0cm;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle18


        {mso-style-type:personal;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


span.EmailStyle19


        {mso-style-type:personal;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


span.EmailStyle20


        {mso-style-type:personal-compose;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:72.0pt 72.0pt 72.0pt 72.0pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="FR" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span lang="EN-GB" style="color:#1F497D;mso-fareast-language:EN-US">Hello<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-GB" style="color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">“Certificate-based authentication can be used as part of Multifactor Authentication only if the private key is stored in a Secure Key Storage Device."<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%">Using a ‘SKSD’ doesn’t mean a 2 factors authentication.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%">It only guaranties that the private key cannot be duplicated


 and/or stolen.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%">When the SKSD is for example a smartcard under the sole control


 of a human being that keeps private the activation secret, then we have 2FA.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%">When the SKSD is an HSM, most of the time the HSM is accessed


 programmatically with a passphrase that is stored in the ‘memories’ of the server (i.e. RAM, Database, INI file…) or with a software certificate ;-).<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%">If we take Diginotar as an example, the hacker found the activation


 secret of the HSM (thales one) in the RAM of the server and then gain access to the authenticated PKCS11 API in order to issue certificates.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%"><o:p> </o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%">So we have to make a clear distinction when this is a human being


 that uses a GUI to validate a certificate issuance, and when systems communicate inside a secure zone using authenticated channels.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%"><o:p> </o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%">Best regards<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="color:#2F5597;mso-style-textfill-fill-color:#2F5597;mso-style-textfill-fill-alpha:100.0%">Franck Leroy<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-GB" style="color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-GB" style="color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-GB">De :</span></b><span lang="EN-GB"> Public [mailto:public-bounces@cabforum.org]


<b>De la part de</b> Tim Hollebeek via Public<br>


<b>Envoyé :</b> mercredi 28 mars 2018 21:39<br>


<b>À :</b> Ryan Sleevi <sleevi@google.com>; CA/Browser Forum Public Discussion List <public@cabforum.org><br>


<b>Objet :</b> Re: [cabfpub] Ballot 221: Two-Factor Authentication and Password Improvements<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><span lang="EN-GB"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-GB">Thank you.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-GB"><o:p> </o:p></span></p>


<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-GB">From:</span></b><span lang="EN-GB"> Ryan Sleevi [<a href="mailto:sleevi@google.com">mailto:sleevi@google.com</a>]


<br>


<b>Sent:</b> Wednesday, March 28, 2018 3:29 PM<br>


<b>To:</b> Tim Hollebeek <<a href="mailto:tim.hollebeek@digicert.com">tim.hollebeek@digicert.com</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>


<b>Subject:</b> Re: [cabfpub] Ballot 221: Two-Factor Authentication and Password Improvements<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><span lang="EN-GB"><o:p> </o:p></span></p>


<div>


<p class="MsoNormal"><span lang="EN-GB">Note, the redline doc doesn't quite align with this ballot text - look for "Multi-Ffactor" in the doc :)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-GB"><o:p> </o:p></span></p>


<div>


<p class="MsoNormal"><span lang="EN-GB">On Wed, Mar 28, 2018 at 3:25 PM, Tim Hollebeek via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<o:p></o:p></span></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0cm;margin-bottom:5.0pt">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Ballot 221: Two-Factor Authentication and Password Improvements<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Purpose of Ballot: The Network Security Working Group met a number of times to


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">improve the Network Security Guidelines requirements around authentication,<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">specifically by requiring two-factor authentication, and improving the password


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">requirements in line with more recent NIST guidelines.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">While CAs are encouraged to improve their password requirements as soon as


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">possible, a two year grace period is being given to allow organizations to


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">develop and implement policies to implement the improved requirements, especially<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">since some organizations may have to simultaneously comply with other<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">compliance frameworks that have not been updated yet and are based on older NIST


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">guidance about passwords.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">The following motion has been proposed by Tim Hollebeek of DigiCert and endorsed


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">by Dimitris Zacharopoulos of Harica and Neil Dunbar of TrustCor.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">— MOTION BEGINS –<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">This ballot modifies the “Network and Certificate System Security Requirements”


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">as follows, based upon Version 1.1:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">In the definitions, add a definition for Multifactor Authentication:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">"Multi-Factor Authentication: An authentication mechanism consisting of two or


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">more of the following independent categories of credentials (i.e. factors) to


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">verify the user’s identity for a login or other transaction: something you know


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">(knowledge factor), something you have (possession factor), and something you


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">are (inherence factor).  Each factor must be independent.  Certificate-based


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">authentication can be used as part of Multifactor Authentication only if the


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">private key is stored in a Secure Key Storage Device."<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Add a definition for Secure Key Storage Device:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">"Secure Key Storage Device: A device certified as meeting at least FIPS 140-2<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">level 2 overall, level 3 physical, or Common Criteria (EAL 4+)."<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">In section 1.j., capitalize Multi-Factor Authentication, and strike the


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">parenthetical reference to subsection 2.n.(ii).<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">In section 2.f., add "(for accountability purposes, group accounts or shared<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">role credentials SHALL NOT be used)" after "authenticate to Certificate Systems".<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Change section 2.g. to read:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">"g. If an authentication control used by a Trusted Role is a username and password,


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">    then, where technically feasible, implement the following controls:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">  i.           For accounts that are accessible only within Secure Zones or High Security


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">               Zones, require that passwords have at least twelve (12) characters;


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">  ii.          For accounts that are accessible from outside a Secure Zone or High Security


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">               Zone, require Multi-Factor Authentication, with passwords that have at least


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">               eight (8) characters and are not be one of the user's previous four (4)


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">               passwords; and implement account lockout for failed access attempts in


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">               accordance with subsection k;<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">  iii.        When developing password policies, CAs SHOULD take into account the password


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">               guidance in NIST 800-63B Appendix A.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">  iv.         If passwords are required to be changed periodically, that period SHOULD be


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">               at least two years.  Effective April 1, 2020, if passwords are required to


<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">               be changed periodically, that period SHALL be at least two years."<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">In section 2.h., change "Require" to "Have a policy that requires"<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">In section 2.i., change "Configure" to "Have a procedure to configure"<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Change section 2.k. to read:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">"k. Lockout account access to Certificate Systems after no more than five (5) failed access attempts, provided that this security measure:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">  i.           is supported by the Certificate System,<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">  ii.          Cannot be leveraged for a denial of service attack, and<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">  iii.        does not weaken the security of this authentication control;"<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Change section 2.n. to read:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">"Enforce Multi-Factor Authentication for all Trusted Role accounts on Certificate<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Systems (including those approving the issuance of a Certificate, which equally<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">applies to Delegated Third Parties) that are accessible from outside a Secure Zone<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">or High Security Zone; and”<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">— MOTION ENDS –<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">The procedure for approval of this ballot is as follows:<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Discussion (7+ days)<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Start Time: 2018-03-28  15:30:00 EDT<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">End Time: after 2018-04-04 15:30:00 EDT<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Vote for approval (7 days)<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">Start Time: TBD<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB"> <o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB">End Time: TBD<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-GB"><br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></span></p>


</blockquote>


</div>


<p class="MsoNormal"><span lang="EN-GB"><o:p> </o:p></span></p>


</div>


</div>


</div>


</body>


</html>