<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 8, 2019 at 3:24 PM Dimitris Zacharopoulos (HARICA) <<a href="mailto:dzacharo@harica.gr">dzacharo@harica.gr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">In any case, since this seems to be a controversial matter, I will <br>
create a new thread in the Server Certificate Working Group public list <br>
and remove the additional requirements for WebTrust. I hope you are ok <br>
with the additional criteria for the third option (equivalent audits <br>
like Government CAs). If not, I can remove that option also.<br></blockquote><div><br></div><div>I'm not opposed to it, I think it merely requires clarity, since we don't (and there isn't) a very clear definition about Government CAs. We've had that discussion in the case of Protiviti (which participates in the discussions on behalf of FPKI) and in cases such as, if I recall correctly, Hong Kong Post CA. This is, admittedly, an issue with the existing BRs, but for which the matter is (presently) resolved by Root Store members applying their own interpretation and/or requirements regarding Section 8.4 of the BRs.</div><div><br></div><div>As a concrete example relevant for those European members, given that the status of being recognized as Qualified is not fundamentally linked to the possession of an EN 319 411-1/-2 audit, as I understand it, would a CA that was qualified, but lacking an EN 319 411-1/-2 audit, constitute a Government CA by virtue of the eIDAS Regulation (EU) 910/2014 being a European Regulation?</div><div><br></div><div>I suspect that the matter could be resolved by clarifying that CAs which participate in and provide audit for schemes that meet the existing criteria (a) and (b) (combining them) from that Section 8.4 of the BRs, bullet 3, and for which the scheme is required by or established "any jurisdiction in which the CA operates or issues certificates" (using the language from 9.16.3), we can avoid the phrase "Government CA" entirely.</div><div><br></div><div>Putting that all together:</div><div><br></div><div>If the CA is required to use a different audit scheme by any jurisdiction in which the CA operates or issues certificates, it MAY use such scheme provided that the audit scheme criteria are available for public and review and either (a) encompasses all requirements of one of the above schemes or (b) consists of comparable criteria.</div></div></div>