<div dir="ltr"><div>My intention is not to prevent CAs from issuing S/MIME certificates 
containing identity information. It's really what Ryan said and Rufus reiterated.</div><div><br></div><div>There is a tremendous amount of work to do and the core of all of it is cert profiles and email validation practices. I expect that it will take a few years to get the core work published, and the complexity of identity validation could easily extend that by a year or more. I am particularly concerned (could just be my ignorance) about all the government-issued identity certificates that are valid for S/MIME. Our identity validation rules will need to support those use cases. Given how long S/MIME standards have already waited behind governance reform, I prefer a narrower initial scope that produces guidelines faster.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jan 29, 2019 at 2:18 PM Buschart, Rufus <<a href="mailto:rufus.buschart@siemens.com">rufus.buschart@siemens.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="DE">
<div class="gmail-m_-4039030015098205518WordSection1">
<p class="MsoNormal"><font size="2" face="Calibri"><span style="font-size:11pt;font-family:"Calibri",sans-serif">Hello!<u></u><u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri"><span style="font-size:11pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri"><span style="font-size:11pt;font-family:"Calibri",sans-serif" lang="EN-US">I would support the approach of Ryan (if I understood his approach correctly): Let’s start with the absolute
 minimal core and this is the validation of the email address and the definition of acceptable practices regarding key generation, key distribution and key escrow. I remember some discussions from last fall with Wayne about this issue when the new Mozilla Root
 Store Policies were drafted and it turned out that SMIME seems to be significantly different to TLS since the business needs are very much different. So there will be a lot to do with this issues.<u></u><u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri"><span style="font-size:11pt;font-family:"Calibri",sans-serif" lang="EN-US"><u></u> <u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif" lang="EN-US">With best regards,<br>
Rufus Buschart<br>
<br>
Siemens AG<br>
Information Technology<br>
Human Resources<br>
PKI / Trustcenter<br>
GS IT HR 7 4<br>
Hugo-Junkers-Str. 9<br>
90411 Nuernberg, Germany <br>
Tel.: +49 1522 2894134<br>
</span></font><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif"><a href="mailto:rufus.buschart@siemens.com" target="_blank"><span lang="EN-US">mailto:rufus.buschart@siemens.com</span></a></span></font><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif" lang="EN-US"><br>
</span></font><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif"><a href="http://www.twitter.com/siemens" target="_blank"><span lang="EN-US">www.twitter.com/siemens</span></a></span></font><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif" lang="EN-US"><br>
</span></font><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif"><a href="https://siemens.com/ingenuityforlife" target="_blank"><span lang="EN-US">www.siemens.com/ingenuityforlife</span></a></span></font><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif" lang="EN-US"><br>
</span></font><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif"><img style="width: 2.5in; height: 0.9062in;" id="gmail-m_-4039030015098205518_x0000_i1026" src="cid:1689b8c51f44cdccc1" alt="www.siemens.com/ingenuityforlife" width="240" height="87" border="0"></span></font><font size="2" face="Arial"><span style="font-size:10pt;font-family:"Arial",sans-serif" lang="EN-US"><br>
</span></font><font size="1" face="Arial"><span style="font-size:8pt;font-family:"Arial",sans-serif" lang="EN-US">Siemens Aktiengesellschaft: Chairman of the Supervisory Board: Jim Hagemann Snabe; Managing Board: Joe Kaeser, Chairman, President and Chief
 Executive Officer; Roland Busch, Lisa Davis, Klaus Helmrich, Janina Kugel, Cedrik Neike, Michael Sen, Ralf P. Thomas; Registered offices: Berlin and Munich, Germany; Commercial registries: Berlin Charlottenburg, HRB 12300, Munich, HRB 6684; WEEE-Reg.-No. DE
 23691322<br>
<br>
</span></font><span lang="EN-US"><u></u><u></u></span></p>
<div style="border-color:currentcolor currentcolor currentcolor blue;border-style:none none none solid;border-width:medium medium medium 1.5pt;padding:0cm 0cm 0cm 4pt">
<div>
<div style="border-color:rgb(225,225,225) currentcolor currentcolor;border-style:solid none none;border-width:1pt medium medium;padding:3pt 0cm 0cm">
<p class="MsoNormal"><b><font size="2" face="Calibri"><span style="font-size:11pt;font-family:"Calibri",sans-serif;font-weight:bold">Von:</span></font></b><font size="2" face="Calibri"><span style="font-size:11pt;font-family:"Calibri",sans-serif"> Public
 <<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>> <b><span style="font-weight:bold">Im Auftrag von </span>
</b>Bruce Morton via Public<br>
<b><span style="font-weight:bold">Gesendet:</span></b> Dienstag, 29. Januar 2019 21:50<br>
<b><span style="font-weight:bold">An:</span></b> Wayne Thayer <<a href="mailto:wthayer@mozilla.com" target="_blank">wthayer@mozilla.com</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>
<b><span style="font-weight:bold">Betreff:</span></b> Re: [cabfpub] [EXTERNAL]Re: Draft SMIME Working Group Charter<u></u><u></u></span></font></p>
</div>
</div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt"><u></u> <u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri" color="#1f497d"><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:rgb(31,73,125)" lang="EN-CA">Hi Wayne,<u></u><u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri" color="#1f497d"><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:rgb(31,73,125)" lang="EN-CA"><u></u> <u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri" color="#1f497d"><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:rgb(31,73,125)" lang="EN-CA">Can you elaborate on why we should exclude identity validation from the
 initial scope?<u></u><u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri" color="#1f497d"><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:rgb(31,73,125)" lang="EN-CA"><u></u> <u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri" color="#1f497d"><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:rgb(31,73,125)" lang="EN-CA">My thinking is that many CAs which are currently issuing S/MIME certificates
 are also including identity. I assume that most use similar methods that are defined in the BRs to validate identity. It would seem that it should be included in the scope to cover current practice.<u></u><u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri" color="#1f497d"><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:rgb(31,73,125)" lang="EN-CA"><u></u> <u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri" color="#1f497d"><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:rgb(31,73,125)" lang="EN-CA">Thanks, Bruce.<u></u><u></u></span></font></p>
<p class="MsoNormal"><font size="2" face="Calibri" color="#1f497d"><span style="font-size:11pt;font-family:"Calibri",sans-serif;color:rgb(31,73,125)" lang="EN-CA"><u></u> <u></u></span></font></p>
<p class="MsoNormal"><b><font size="2" face="Calibri"><span style="font-size:11pt;font-family:"Calibri",sans-serif;font-weight:bold" lang="EN-US">From:</span></font></b><font size="2" face="Calibri"><span style="font-size:11pt;font-family:"Calibri",sans-serif" lang="EN-US">
 Public [<a href="mailto:public-bounces@cabforum.org" target="_blank">mailto:public-bounces@cabforum.org</a>]
<b><span style="font-weight:bold">On Behalf Of </span></b>Wayne Thayer via Public<br>
<b><span style="font-weight:bold">Sent:</span></b> January 25, 2019 1:37 PM<br>
<b><span style="font-weight:bold">To:</span></b> Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>
<b><span style="font-weight:bold">Subject:</span></b> [EXTERNAL]Re: [cabfpub] Draft SMIME Working Group Charter<u></u><u></u></span></font></p>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA"><u></u> <u></u></span></font></p>
<p class="MsoNormal"><strong><b><font size="3" face="Times New Roman" color="red"><span style="font-size:12pt;color:red" lang="EN-CA">WARNING:</span></font></b></strong><span lang="EN-CA"> This email originated outside of Entrust Datacard.<br>
<strong><b><font face="Times New Roman" color="red"><span style="color:red">DO NOT CLICK</span></font></b></strong> links or attachments unless you trust the sender and know the content is safe.<u></u><u></u></span></p>
<div class="MsoNormal" style="text-align:center" align="center"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA">
<hr width="100%" size="3" align="center">
</span></font></div>
<div>
<div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA">I agree that we should exclude identity validation from the initial scope of this working group.<u></u><u></u></span></font></p>
</div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA"><u></u> <u></u></span></font></p>
</div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA">On Fri, Jan 25, 2019 at 10:04 AM Ryan Sleevi via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<u></u><u></u></span></font></p>
</div>
<div>
<blockquote style="border-color:currentcolor currentcolor currentcolor rgb(204,204,204);border-style:none none none solid;border-width:medium medium medium 1pt;padding:0cm 0cm 0cm 6pt;margin:5pt 0cm 5pt 4.8pt">
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA"><u></u> <u></u></span></font></p>
<div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA">Finally, regarding membership criteria, I'm curious whether it's necessary to consider WebTrust for CAs / ETSI at all. For work like this, would it make sense
 to merely specify the requirements for a CA as one that is trusted for and actively issues S/MIME certificates that are accepted by a Certificate Consumer. This seems to be widely inclusive and can be iterated upon if/when improved criteria are developed,
 if appropriate.<u></u><u></u></span></font></p>
</div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA"><u></u> <u></u></span></font></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA">This would allow a CA that is not eligible for full Forum membership to join this WG as a full member. How would that work? Would we require such an organization
 to join the Forum as an Interested Party? If the idea is that such an organization wouldn't be required to join the Forum, then I don't believe that was anticipated or intended in the design of the current structure. It's not clear to me that we should permit
 membership in a CWG without Forum membership. For instance, allowing this may create loopholes in the IPR obligations that are defined and administered at the Forum level.<u></u><u></u></span></font></p>
</div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA"><u></u> <u></u></span></font></p>
</div>
<blockquote style="border-color:currentcolor currentcolor currentcolor rgb(204,204,204);border-style:none none none solid;border-width:medium medium medium 1pt;padding:0cm 0cm 0cm 6pt;margin:5pt 0cm 5pt 4.8pt">
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA">There's also a bootstrapping issue for membership, in that until we know who the accepted Certificate Consumers are, no CA can join as a Certificate Issuer.
 I'm curious whether it makes sense to explicitly bootstrap this in the charter or how we'd like to tackle this.<u></u><u></u></span></font></p>
</div>
<div>
<p class="MsoNormal"><font size="3" face="Times New Roman"><span style="font-size:12pt" lang="EN-CA"><u></u> <u></u></span></font></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</div>
</div>

</blockquote></div>