<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 6, 2020 at 2:05 PM Wayne Thayer <<a href="mailto:wthayer@gmail.com">wthayer@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Ryan - Thank you for pointing out the past discussions. it's unfortunate that this ballot has lingered for so long and as a result it's possible that some of your feedback from a year ago was (unintentionally, I believe) "ignored". In reviewing [12], I observe the following:</div><div> * As noted, most, but not all of your comments relate to identity, an issue that is intended to be decided via ballot.<br></div><div> * You state "I'll also duplicate them as suggested edits on the doc after sending this, to provide more concrete and hopefully productive guidance." Did you share a redline with suggested changes?</div></div></blockquote><div><br></div><div>I did, and they're available in the links provided.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div> * Your comment "Finally, regarding membership criteria, I'm curious whether it's necessary to consider WebTrust for CAs / ETSI at all." was discussed in the thread without reaching agreement.</div></div></blockquote><div><br></div><div>And suggested edits were given to Ben twice on how to address that.</div><div><br></div><div>This is actually rather significant, because it's artificially exclusionary, and does not match how we've bootstrapped other efforts, such as the Forum itself.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div> * Regarding membership, you also commented "There's also a bootstrapping issue for membership, in that until we know who the accepted Certificate Consumers are, no CA can join as a Certificate Issuer. I'm curious whether it makes sense to explicitly bootstrap this in the charter or how we'd like to tackle this." I agree with this concern but is it something that can be easily worked around by having Certificate Consumers such as Microsoft and Mozilla become the first members of the WG?</div></div></blockquote><div><br></div><div>Define "easily"? The membership definition is circular and intended to protect CAs' interests, and that's a real problem. A Certificate Consumer is one who accepts Certificate Issuers in the WG, meaning that if a given Consumer moves to distrust a given issuer, such action may result in their removal from the SMCWG, which would happen automatically, while for CAs, they would merely be suspended.</div><div><br></div><div>Beyond that, as suggested, Microsoft and Mozilla cannot qualify as Certificate Consumers without Certificate Issuers, and CAs cannot qualify as Certificate Issuers without the existence of Certificate Consumers. There's no way, valid to the Bylaws, for members to declare their interest, because they can't meet the qualification, so it's incorrect to suggest that this is a first-mover problem. This is a bootstrap problem, similar to the audit, that was flagged in the past.</div><div><br></div><div>Of course, the definition of Certificate Issuer also seeks to exclude those it claims to consider, by imposing a set of audit criteria that's more restrictive than the proposed scope of the charter. That is, existing issuers may be considered, but may not participate, if they haven't adopted one of the specific audit schemes.</div><div><br></div><div>These are just the <i>existing</i> issues that were discussed. As mentioned, there was significantly more feedback around other areas of structure and approach, but we didn't submit those in the hope of a good-faith engagement with Apple's suggestions. For example, the draft charter introduces a normative dependency on the Baseline Requirements through its definition of Qualified Auditor, which is necessary for membership, which means that participation in the SMCWG is entirely dependent on participation in the SCWG, such that actions in the SCWG can cause members to be excluded from the SMCWG.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
</blockquote></div></div>
</blockquote></div>
</blockquote></div></div>