<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
h2
        {mso-style-priority:9;
        mso-style-link:"Heading 2 Char";
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:18.0pt;
        font-family:"Calibri",sans-serif;
        font-weight:bold;}
h3
        {mso-style-priority:9;
        mso-style-link:"Heading 3 Char";
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:13.5pt;
        font-family:"Calibri",sans-serif;
        font-weight:bold;}
h4
        {mso-style-priority:9;
        mso-style-link:"Heading 4 Char";
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Calibri",sans-serif;
        font-weight:bold;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.Heading2Char
        {mso-style-name:"Heading 2 Char";
        mso-style-priority:9;
        mso-style-link:"Heading 2";
        font-family:"Calibri",sans-serif;
        font-weight:bold;}
span.Heading3Char
        {mso-style-name:"Heading 3 Char";
        mso-style-priority:9;
        mso-style-link:"Heading 3";
        font-family:"Calibri",sans-serif;
        font-weight:bold;}
span.Heading4Char
        {mso-style-name:"Heading 4 Char";
        mso-style-priority:9;
        mso-style-link:"Heading 4";
        font-family:"Calibri",sans-serif;
        font-weight:bold;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
p.level1, li.level1, div.level1
        {mso-style-name:level1;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
p.level3, li.level3, div.level3
        {mso-style-name:level3;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
p.level6, li.level6, div.level6
        {mso-style-name:level6;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
p.level2, li.level2, div.level2
        {mso-style-name:level2;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle25
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.z-TopofFormChar
        {mso-style-name:"z-Top of Form Char";
        mso-style-priority:99;
        mso-style-link:"z-Top of Form";
        font-family:"Arial",sans-serif;
        display:none;}
span.z-BottomofFormChar
        {mso-style-name:"z-Bottom of Form Char";
        mso-style-priority:99;
        mso-style-link:"z-Bottom of Form";
        font-family:"Arial",sans-serif;
        display:none;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:117339575;
        mso-list-template-ids:2091042072;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l0:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l0:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1
        {mso-list-id:135994998;
        mso-list-template-ids:-1627764732;}
@list l1:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l1:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l1:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l2
        {mso-list-id:152567928;
        mso-list-template-ids:1328030764;}
@list l2:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l2:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l2:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l2:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l2:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l2:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l2:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l2:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l2:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l3
        {mso-list-id:206140371;
        mso-list-template-ids:1768821020;}
@list l3:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l3:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l3:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l3:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l3:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l3:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l3:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l3:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l3:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l4
        {mso-list-id:277299597;
        mso-list-template-ids:-135475744;}
@list l4:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l4:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l4:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l4:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l4:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l4:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l4:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l4:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l4:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l5
        {mso-list-id:281806392;
        mso-list-template-ids:-1822638754;}
@list l5:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l5:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l5:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l5:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l5:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l5:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l5:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l5:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l5:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l6
        {mso-list-id:291404715;
        mso-list-template-ids:1028447496;}
@list l6:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l6:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l6:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l6:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l6:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l6:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l6:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l6:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l6:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l7
        {mso-list-id:316424709;
        mso-list-template-ids:-164226750;}
@list l7:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l7:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l7:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l7:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l7:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l7:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l7:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l7:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l7:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l8
        {mso-list-id:326203995;
        mso-list-template-ids:-1637318696;}
@list l8:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l8:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l8:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l8:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l8:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l8:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l8:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l8:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l8:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l9
        {mso-list-id:328480929;
        mso-list-template-ids:1680086778;}
@list l9:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l9:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l9:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l9:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l9:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l9:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l9:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l9:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l9:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l10
        {mso-list-id:329648902;
        mso-list-template-ids:1381140470;}
@list l10:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l10:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l10:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l10:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l10:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l10:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l10:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l10:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l10:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l11
        {mso-list-id:446317269;
        mso-list-template-ids:1250319728;}
@list l11:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l11:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l11:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l11:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l11:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l11:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l11:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l11:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l11:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l12
        {mso-list-id:489558657;
        mso-list-template-ids:885145928;}
@list l12:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l12:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l12:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l12:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l12:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l12:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l12:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l12:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l12:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l13
        {mso-list-id:530605012;
        mso-list-template-ids:398334682;}
@list l13:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l13:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l13:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l13:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l13:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l13:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l13:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l13:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l13:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l14
        {mso-list-id:560406604;
        mso-list-template-ids:-2024914980;}
@list l14:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l14:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l14:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l14:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l14:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l14:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l14:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l14:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l14:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l15
        {mso-list-id:594828952;
        mso-list-template-ids:1322547702;}
@list l15:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l15:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l15:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l15:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l15:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l15:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l15:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l15:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l15:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l16
        {mso-list-id:629630591;
        mso-list-template-ids:-410995064;}
@list l16:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l16:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l16:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l16:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l16:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l16:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l16:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l16:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l16:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l17
        {mso-list-id:634019984;
        mso-list-template-ids:-2063929306;}
@list l17:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l17:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l17:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l17:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l17:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l17:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l17:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l17:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l17:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l18
        {mso-list-id:658575499;
        mso-list-template-ids:-1293884936;}
@list l18:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l18:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l18:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l18:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l18:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l18:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l18:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l18:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l18:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l19
        {mso-list-id:725570075;
        mso-list-template-ids:398349400;}
@list l19:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l19:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l19:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l19:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l19:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l19:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l19:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l19:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l19:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l20
        {mso-list-id:865018518;
        mso-list-template-ids:483975720;}
@list l20:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l20:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l20:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l20:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l20:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l20:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l20:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l20:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l20:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l21
        {mso-list-id:883829532;
        mso-list-template-ids:275156062;}
@list l21:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l21:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l21:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l21:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l21:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l21:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l21:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l21:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l21:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l22
        {mso-list-id:937831020;
        mso-list-template-ids:1499468642;}
@list l22:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l22:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l22:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l22:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l22:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l22:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l22:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l22:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l22:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l23
        {mso-list-id:945234333;
        mso-list-template-ids:2129445998;}
@list l23:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l23:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l23:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l23:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l23:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l23:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l23:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l23:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l23:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l24
        {mso-list-id:953244128;
        mso-list-template-ids:1510652498;}
@list l24:level1
        {mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l24:level2
        {mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l24:level3
        {mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l24:level4
        {mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l24:level5
        {mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l24:level6
        {mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l24:level7
        {mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l24:level8
        {mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l24:level9
        {mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l25
        {mso-list-id:971255735;
        mso-list-template-ids:1588752736;}
@list l25:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l25:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l25:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l25:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l25:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l25:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l25:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l25:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l25:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l26
        {mso-list-id:984554828;
        mso-list-template-ids:1603548582;}
@list l26:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l26:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l26:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l26:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l26:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l26:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l26:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l26:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l26:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l27
        {mso-list-id:1015500135;
        mso-list-template-ids:1926922498;}
@list l27:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l27:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l27:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l27:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l27:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l27:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l27:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l27:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l27:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l28
        {mso-list-id:1047871070;
        mso-list-template-ids:-1477660858;}
@list l28:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l28:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l28:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l28:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l28:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l28:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l28:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l28:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l28:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l29
        {mso-list-id:1053114267;
        mso-list-template-ids:-540106298;}
@list l29:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l29:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l29:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l29:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l29:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l29:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l29:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l29:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l29:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l30
        {mso-list-id:1075593578;
        mso-list-template-ids:-1789782062;}
@list l30:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l30:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l30:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l30:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l30:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l30:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l30:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l30:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l30:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l31
        {mso-list-id:1114983109;
        mso-list-template-ids:1006115538;}
@list l31:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l31:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l31:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l31:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l31:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l31:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l31:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l31:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l31:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l32
        {mso-list-id:1151361344;
        mso-list-template-ids:1328186042;}
@list l32:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l32:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l32:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l32:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l32:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l32:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l32:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l32:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l32:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l33
        {mso-list-id:1252543524;
        mso-list-template-ids:1969403410;}
@list l33:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l33:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l33:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l33:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l33:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l33:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l33:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l33:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l33:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l34
        {mso-list-id:1274364934;
        mso-list-template-ids:-1374372792;}
@list l34:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l34:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l34:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l34:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l34:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l34:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l34:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l34:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l34:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l35
        {mso-list-id:1353872022;
        mso-list-template-ids:2038566610;}
@list l35:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l35:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l35:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l35:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l35:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l35:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l35:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l35:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l35:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l36
        {mso-list-id:1386249954;
        mso-list-template-ids:-641958758;}
@list l36:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l36:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l36:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l36:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l36:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l36:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l36:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l36:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l36:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l37
        {mso-list-id:1446581322;
        mso-list-template-ids:328652582;}
@list l37:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l37:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l37:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l37:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l37:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l37:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l37:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l37:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l37:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l38
        {mso-list-id:1472862132;
        mso-list-template-ids:12507924;}
@list l38:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l38:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l38:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l38:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l38:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l38:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l38:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l38:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l38:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l39
        {mso-list-id:1472943413;
        mso-list-template-ids:1016212678;}
@list l39:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l39:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l39:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l39:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l39:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l39:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l39:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l39:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l39:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l40
        {mso-list-id:1486166469;
        mso-list-template-ids:-1266755122;}
@list l40:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l40:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l40:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l40:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l40:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l40:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l40:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l40:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l40:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l41
        {mso-list-id:1579705355;
        mso-list-template-ids:-1349322164;}
@list l41:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l41:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l41:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l41:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l41:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l41:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l41:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l41:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l41:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l42
        {mso-list-id:1704017369;
        mso-list-template-ids:1577184;}
@list l42:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l42:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l42:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l42:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l42:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l42:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l42:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l42:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l42:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l43
        {mso-list-id:1715618701;
        mso-list-template-ids:1474348802;}
@list l43:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l43:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l43:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l43:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l43:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l43:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l43:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l43:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l43:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l44
        {mso-list-id:1724406178;
        mso-list-template-ids:-698075092;}
@list l44:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l44:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l44:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l44:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l44:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l44:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l44:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l44:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l44:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l45
        {mso-list-id:1727070983;
        mso-list-template-ids:-960172148;}
@list l45:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l45:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l45:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l45:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l45:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l45:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l45:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l45:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l45:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l46
        {mso-list-id:1745642162;
        mso-list-template-ids:46666140;}
@list l46:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l46:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l46:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l46:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l46:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l46:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l46:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l46:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l46:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l47
        {mso-list-id:1832327902;
        mso-list-template-ids:-273238498;}
@list l47:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l47:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l47:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l47:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l47:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l47:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l47:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l47:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l47:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l48
        {mso-list-id:1895769674;
        mso-list-template-ids:1383989948;}
@list l48:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l48:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l48:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l48:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l48:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l48:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l48:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l48:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l48:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l49
        {mso-list-id:1986154491;
        mso-list-template-ids:612952016;}
@list l49:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l49:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l49:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l49:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l49:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l49:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l49:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l49:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l49:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72" style='word-wrap:break-word'><div class=WordSection1><h2>Tuesday, 22 February 2022 - CA/B Forum Meeting (Day 1)<o:p></o:p></h2><p>The antitrust statement was read. <o:p></o:p></p><h3 id=attendees>Attendees<o:p></o:p></h3><p>Adam Jones (Microsoft), An Yin (iTrusChina), Andrea Holland (SecureTrust), Andreas Henschel (D-TRUST), Aneta Wojtczak-Iwanicka (Microsoft), Antti Backman (Telia Company), Arno Fiedler (D-TRUST), Ben Wilson (Mozilla), Brenda Bernal (Digicert), Brianca Martin (Amazon), Brittany Randall (GoDaddy), Bruce Morton (Entrust), Chris Kemmerer (SSL.com), Clemens Wanko (ACAB Council), Clint Wilson (Apple), Corey Bonnell (Digicert), Curt Spann (Apple), Daniel Jeffery (Fastly), Daryn Wright (GoDaddy), Dean Coclin (Digicert), Dimitris Zacharopoulos (HARICA), Don Sheehy (CPA Canada/WebTrust), Doug Beattie (GlobalSign), Dustin Hollenback (Microsoft), Enrico Entschew (D-TRUST), Eva Vansteenberge (GlobalSign), Fumi Yoneda (Japan Registry Services), Hazhar Ismail (MSC Trustgate Sdn Bhd), Hubert Chao (Google), Inaba Atsushi (GlobalSign), Inigo Barreira (Sectigo), Jamie Mackey (US Federal PKI Management Authority), Janet Hines (SecureTrust), Jeff Ward (CPA Canada/WebTrust), Jeremy Rowley (Digicert), Joanna Fox (TrustCor Systems), Joe DeBlasio (Google), Jos Purvis (Cisco Systems), Jozef Nigut (Disig), Karina Sirota (Microsoft), Kathleen Wilson (Mozilla), Kati Davids (GoDaddy), Katsuyoshi Osaki (Japan Registry Services), Leo Grove (SSL.com), Li-Chun Chen (Chunghwa Telecom), Mads Henriksveen (Buypass AS), Martijn Katerbarg (Sectigo), Matthias Wiedenhorst (ACAB Council), Michael Guenther (SwissSign), Michael Sykes (SSL.com), Michelle Coon (OATI), Mike Kushner (PrimeKey), Mike Lettona (Digicert), Nick France (Sectigo), Paul van Brouwershaven (Entrust), Pedro Fuentes (OISTE Foundation), Pekka Lahtiharju (Telia Company), Peter Miskovic (Disig), Prachi Jain (Fastly), Rachel McPherson (TrustCor Systems), Rae Ann Gonzales (GoDaddy), Raffaela Achermann (SwissSign), Rebecca Kelley (Apple), Renne Rodriguez (Apple), RIch Smith (Digicert), Rob Stradling (Sectigo), Roman Fischer (SwissSign), Ryan Dickson (Google), Sissel Hoel (Buypass AS), Stephen Davidson (Digicert), Tadahiko Ito (SECOM Trust Systems), Thomas Zermeno (SSL.com), Tim Callan (Sectigo), Tim Hollebeek (Digicert), Tobias Josefowitz (Opera Software AS), Trevoli Ponds-White (Amazon), Tsung-Min Kuo (Chunghwa Telecom), Tyler Myers (GoDaddy), Wayne Thayer (Fastly), Wendy Brown (US Federal PKI Management Authority), Xiu Lei (GDCA), Yoshihiko Matsuo (Japan Registry Services), Yoshiro Yoneya (Japan Registry Services), Arnold Essing (Deutsche Telekom Security), Robin Alden, Dr Peter Thomassen (SSE Secure Systems) <o:p></o:p></p><h3 id=minutes>Minutes<o:p></o:p></h3><h3 id="approval_of_minutes">Approval of Minutes<o:p></o:p></h3><p>Minutes of the 17 February meeting were reviewed and approved. <o:p></o:p></p><h3 id="future_face_to_face_meeting_schedule">Future face to face meeting schedule<o:p></o:p></h3><p>Poland meeting is on for June, Berlin meeting is on for October. More details to follow. Looking for 2023 meeting hosts. Checking on potential for hosts that had to cancel in 2020-2021 to host in 2023. OATI, Globalsign, Cisco are candidates. <o:p></o:p></p><h3 id="mozilla_root_program_update">Mozilla Root Program Update<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Ben Wilson (Mozilla) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Ryan Dickson (Google Chrome) <br><strong><span style='font-family:"Calibri",sans-serif'>Presentation:</span></strong> <a href="https://docs.google.com/document/d/1G-5sLSJSNWZIJRzsr6Q963_twvHD_7AsdXcmeQQ_AdM" title="https://docs.google.com/document/d/1G-5sLSJSNWZIJRzsr6Q963_twvHD_7AsdXcmeQQ_AdM">https://docs.google.com/document/d/1G-5sLSJSNWZIJRzsr6Q963_twvHD_7AsdXcmeQQ_AdM</a> <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l17 level1 lfo1'>Today's update will focus on a review of planned changes that will take effect in Mozilla Root Store Policy (MRSP) v. 2.8 (May 1, 2022)<o:p></o:p></li></ul><ul type=disc><li class=level1 style='mso-list:l12 level1 lfo2'>Reminders:<o:p></o:p></li><ul type=circle><li class=level3 style='mso-list:l12 level2 lfo2'>For reference, the briefing from the October 2021 F2F is available <a href="https://cabforum.org/wp-content/uploads/cab_forum_october_2021_-_mozilla_update.pdf" title="https://cabforum.org/wp-content/uploads/cab_forum_october_2021_-_mozilla_update.pdf">here</a><o:p></o:p></li><li class=level3 style='mso-list:l12 level2 lfo2'>Current draft policy with comparison to v. 2.7 available on <a href="https://github.com/mozilla/pkipolicy/compare/master...BenWilson-Mozilla:2.8" title="https://github.com/mozilla/pkipolicy/compare/master...BenWilson-Mozilla:2.8">GitHub</a><o:p></o:p></li><li class=level3 style='mso-list:l12 level2 lfo2'>Reminder, policy update and other discussions take place in the <a href="https://groups.google.com/a/mozilla.org/g/dev-security-policy" title="https://groups.google.com/a/mozilla.org/g/dev-security-policy">dev-security-policy group</a><o:p></o:p></li><li class=level3 style='mso-list:l12 level2 lfo2'>For any questions, email <a href="mailto:certificates@mozilla.org">certificates@mozilla.org</a><o:p></o:p></li></ul></ul><ul type=disc><li class=level1 style='mso-list:l32 level1 lfo3'>High-level change summary:<o:p></o:p></li><ul type=circle><li class=level3 style='mso-list:l32 level2 lfo3'>20-30 items Mozilla wanted to address in this update<o:p></o:p></li><li class=level3 style='mso-list:l32 level2 lfo3'>Changes are organized by effective dates. If there are any specific concerns with a date listed, let us know.<o:p></o:p></li></ul></ul><ul type=disc><li class=level1 style='mso-list:l25 level1 lfo4'>Ben walked participants through the proposed set of changes (note, updates are summarized below, but please reference <a href="https://docs.google.com/document/d/1G-5sLSJSNWZIJRzsr6Q963_twvHD_7AsdXcmeQQ_AdM/edit" title="https://docs.google.com/document/d/1G-5sLSJSNWZIJRzsr6Q963_twvHD_7AsdXcmeQQ_AdM/edit#">authoritative source</a>)<o:p></o:p></li><ul type=circle><li class=level3 style='mso-list:l25 level2 lfo4'>July 1, 2022<o:p></o:p></li><ul type=square><li class=level6 style='mso-list:l25 level3 lfo4'>Name constrained intermediate CA certificates must be disclosed, whereas previously, this was not required. Ben indicated that if a CA operator complies with Apple's program requirements, they'll comply with Mozilla's.<o:p></o:p></li></ul><li class=level3 style='mso-list:l25 level2 lfo4'>October 1, 2022<o:p></o:p></li><ul type=square><li class=level6 style='mso-list:l25 level3 lfo4'>Revocations performed after 10/1/2022 must follow the updated policy (planned for further discussion by Kathleen during the Server Certificate Working Group meeting tomorrow).<o:p></o:p></li><li class=level6 style='mso-list:l25 level3 lfo4'>TLS Intermediate CAs must populate the address of the full (complete) CRL for the certificates it issues in CCADB. <o:p></o:p></li></ul><li class=level3 style='mso-list:l25 level2 lfo4'>July 1, 2023<o:p></o:p></li><ul type=square><li class=level6 style='mso-list:l25 level3 lfo4'>Prohibition of signing certificates, CRLs, and OCSP responses using SHA1.<o:p></o:p></li></ul><li class=level3 style='mso-list:l25 level2 lfo4'>General Document Improvements <o:p></o:p></li><ul type=square><li class=level6 style='mso-list:l25 level3 lfo4'>Goals: improve readability and consistency<o:p></o:p></li><li class=level6 style='mso-list:l25 level3 lfo4'>Improved specificity regarding key terms (e.g., use of “CA operator” over “CA” when referring to an organization, replace “SSL” with “TLS, capitalize requirement terms having special meaning per RFC 2119, etc.)<o:p></o:p></li></ul><li class=level3 style='mso-list:l25 level2 lfo4'>Intermediate CA Clarifications <o:p></o:p></li><ul type=square><li class=level6 style='mso-list:l25 level3 lfo4'>encourage CAs to include only a single KeyPurposeID in the EKU extension of intermediate certificates <o:p></o:p></li><li class=level6 style='mso-list:l25 level3 lfo4'>more clearly indicate specific EKU usage depending on the type of intermediate CA. However, once the S/MIME BRs are finalized, Mozilla's policy on EKUs will be revisited.<o:p></o:p></li><li class=level6 style='mso-list:l25 level3 lfo4'>require disclosures for intermediate CA certificates technically capable of issuing working server or email in CCADB<o:p></o:p></li><li class=level6 style='mso-list:l25 level3 lfo4'>CA operators SHALL NOT assume trust is transferable<o:p></o:p></li><li class=level6 style='mso-list:l25 level3 lfo4'>Clarified public discussion requirements when an external third party will receive an unconstrained subordinate CA or cross-certificate <o:p></o:p></li></ul><li class=level3 style='mso-list:l25 level2 lfo4'>CT Precertificates<o:p></o:p></li><ul type=square><li class=level6 style='mso-list:l25 level3 lfo4'>new policy section added to indicate precertificates are in scope for enforcing compliance<o:p></o:p></li></ul><li class=level3 style='mso-list:l25 level2 lfo4'>Forbidden Practices Cleanup<o:p></o:p></li><ul type=square><li class=level6 style='mso-list:l25 level3 lfo4'>cleaned up format to improve readability <o:p></o:p></li></ul><li class=level3 style='mso-list:l25 level2 lfo4'>Other Updates<o:p></o:p></li><ul type=square><li class=level6 style='mso-list:l25 level3 lfo4'>Added language regarding possible outcomes and actions related to incident response and unsatisfactory audits<o:p></o:p></li><li class=level6 style='mso-list:l25 level3 lfo4'>Working on adding language that will require older versions of CP/CPS to be maintained in CA repositories<o:p></o:p></li><li class=level6 style='mso-list:l25 level3 lfo4'>Working on establishing requirements to remove older Root CA certificates in favor of newer ones <a href="https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/PuI1ZILqZ7o/m/E-cKaw_jBAAJ" title="https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/PuI1ZILqZ7o/m/E-cKaw_jBAAJ">follow discussion here</a> and <a href="https://github.com/mozilla/pkipolicy/issues/232" title="https://github.com/mozilla/pkipolicy/issues/232">here</a><o:p></o:p></li></ul><li class=level3 style='mso-list:l25 level2 lfo4'>Additionally, Ben reviewed CA inclusion Requests, open compliance bugs, and shared an update on CRLite (enabling “monitoring mode” in Firefox 99)<o:p></o:p></li></ul></ul><ul type=disc><li class=level1 style='mso-list:l3 level1 lfo5'>Discussion:<o:p></o:p></li><ul type=circle><li class=level3 style='mso-list:l3 level2 lfo5'>One question from GDCA regarding recent changes made by CPA Canada regarding WebTrust audits in mainland China. Ben indicated that Mozilla, along with other browser and operating system vendors, recognizes the severity and importance of the issue, and are working with CPA Canada to determine next steps.<o:p></o:p></li></ul></ul><h3 id="google_root_program_update">Google Root Program Update<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Ryan Dickson (Google Chrome)<br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Ben Wilson (Mozilla)<br><strong><span style='font-family:"Calibri",sans-serif'>Presentation:</span></strong> <a href="https://drive.google.com/file/d/1TUeQ8nhvMrbC5_YpfvlS1XvnrQz9OPVm/view" title="https://drive.google.com/file/d/1TUeQ8nhvMrbC5_YpfvlS1XvnrQz9OPVm/view">https://drive.google.com/file/d/1TUeQ8nhvMrbC5_YpfvlS1XvnrQz9OPVm/view</a> <o:p></o:p></p><p>Google is working on the Chrome Root Program with another launch planned for later this summer. The Program is going through iterations and growth, before then and after, too. With regard to Governance Aspects, Google is updating the root program policy and currently clarifying the policy details. With regard to Technical Aspects, Google is working in the CCADB to streamline processes. Incident management processes are being developed. Also working on optimization, which is a long term goal. <o:p></o:p></p><p>Component update feature is being added. This feature works without user download of any updates. The component feature update will be used to add and remove CA certificates. Implementation is starting with Chrome OS, Linux, macOS, and Windows. <o:p></o:p></p><p>The transitional store was updated last week. (It's the basis of the Chrome root store). Meanwhile, CAs need to please follow policies, BRs, and report incidents to the Chrome email address. Post updates to your CA policies and practices promptly. To request that Google add new CA certificates to the Chrome root store, please send an email to the designated email address. <o:p></o:p></p><p>Long-term priorities are listed on the slide. Some of these priorities are included in the updated policy to be published in a few months. Many of these items are not new, and CAs should be aware of them. Included in these priorities are: reducing misissuance, increasing accountability, and preparing for a post-quantum world. <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Long term priorities</span></strong> <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l0 level1 lfo6'>Encourage modern infrastructure and agility<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l0 level2 lfo6'>Replace legacy roots and pki<o:p></o:p></li></ul><li class=level1 style='mso-list:l0 level1 lfo6'>Focus on simplicity<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l0 level2 lfo6'>Purpose driven CAs by type<o:p></o:p></li></ul><li class=level1 style='mso-list:l0 level1 lfo6'>Promote automation<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l0 level2 lfo6'>ACME!!!!<o:p></o:p></li></ul><li class=level1 style='mso-list:l0 level1 lfo6'>Reduce misissuance<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l0 level2 lfo6'>Pre and post issue linting<o:p></o:p></li></ul><li class=level1 style='mso-list:l0 level1 lfo6'>Increased accountability and ecosystem integrity<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l0 level2 lfo6'>Automated monitoring and reporting<o:p></o:p></li></ul><li class=level1 style='mso-list:l0 level1 lfo6'>Prepare for post quantum<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l0 level2 lfo6'>Encourage experimentation<o:p></o:p></li></ul></ul><p>Google is moving the Chrome Certificate Verifier toward all other platforms (except iOS). Chrome will not be using platform verifiers, but will use Chrome Certificate Verifiers on Linux, MacOS, Windows, and eventually Android. Feedback and data has been favorable to moving forward with the Chrome Certificate Verifier. It's open source and can be run manually. <o:p></o:p></p><p>See slide on Combined Feature Set - launch roadmap. <o:p></o:p></p><p>Certificate Transparency - Chrome 100 - new policy on number of logs and SCT requirements and aligning with Apple's policies. General Updates - In Chrome 98, TLS 1.0 and 1.1 are blocked with non-bypassable errors <o:p></o:p></p><h3 id="apple_root_program_update">Apple Root Program Update<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Clint Wilson (Apple) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Jos Purvis <o:p></o:p></p><h4 id="updated_root_program_policy">Updated Root Program Policy<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l39 level1 lfo7'>Some CAs did not receive updates due to Spam filtering<o:p></o:p></li><li class=level1 style='mso-list:l39 level1 lfo7'>Minor clarifications and text alignments about expectations<o:p></o:p></li><li class=level1 style='mso-list:l39 level1 lfo7'>Incorporated CA feedback into changes, especially S/MIME validity periods which were increased 825 → 1125. They are still working with S/MIME WG to shorten that up, but due to feedback are keeping it here right now.<o:p></o:p></li><li class=level1 style='mso-list:l39 level1 lfo7'>Changes to take effect April 1 2022<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l39 level2 lfo7'>S/MIME profile requirements<o:p></o:p></li><li class=level2 style='mso-list:l39 level2 lfo7'>CA Disclosure in CCADB<o:p></o:p></li></ul><li class=level1 style='mso-list:l39 level1 lfo7'>Take effect 1 Oct 2022<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l39 level2 lfo7'>Full CRL disclosure<o:p></o:p></li></ul></ul><h4 id="add_l_cert_configuration_data">Add'l Cert Configuration Data<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l27 level1 lfo8'>Documentation<o:p></o:p></li><li class=level1 style='mso-list:l27 level1 lfo8'>Would like feedback about documentation improvement - how can they make this easier and clearer?<o:p></o:p></li><li class=level1 style='mso-list:l27 level1 lfo8'>Article linked about new hyperlink service<o:p></o:p></li></ul><h4 id=questions>Questions<o:p></o:p></h4><p><em><span style='font-family:"Calibri",sans-serif'>No questions</span></em> <o:p></o:p></p><h3 id="microsoft_root_program_update">Microsoft Root Program Update<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Karina Sirota (Microsoft) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Tim Hollebeek (DigiCert) <o:p></o:p></p><p>Microsoft is doing an end-to-end process review of every way CAs interact with their system and program. <o:p></o:p></p><p>For changes to roots, please let Microsoft know 3 months in advance. <o:p></o:p></p><p>See also the presentation slides for more details. <o:p></o:p></p><p>No questions. <o:p></o:p></p><h3 id="guest_speaker">Guest Speaker<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Presenter:</span></strong> Dr. Peter Thomassen, SSE / deSEC <br><strong><span style='font-family:"Calibri",sans-serif'>Presentation:</span></strong> <a href="https://wiki.cabforum.org/_media/2022-02-22_ca_b_forum_psl_access_as_a_service.pdf" title="https://wiki.cabforum.org/_media/2022-02-22_ca_b_forum_psl_access_as_a_service.pdf">PSL Access as a Service</a> <o:p></o:p></p><h3 id="ccadb_update">CCADB Update<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Kathleen Wilson (Mozilla) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Corey Bonnell <br><strong><span style='font-family:"Calibri",sans-serif'>Presentation:</span></strong> <a href="https://docs.google.com/document/d/14nNmSNpeEh6uxY1QdOsAEgMc8Ma52MfTjTnrxyQ9CR8/edit?usp=sharing" title="https://docs.google.com/document/d/14nNmSNpeEh6uxY1QdOsAEgMc8Ma52MfTjTnrxyQ9CR8/edit?usp=sharing">https://docs.google.com/document/d/14nNmSNpeEh6uxY1QdOsAEgMc8Ma52MfTjTnrxyQ9CR8/edit?usp=sharing</a> <o:p></o:p></p><p>CCADB Policy Updates <o:p></o:p></p><p>- Section 5 contains the required format for audit reports that are consumed by ALV. Guidance for date formats has been updated. The motivation for adding this guidance is that a tabular format doesn't work with ALV. <o:p></o:p></p><p>- Added information for the CCADB Steering Committee. Each participating Root Program has a representative. Regular meetings with reps to discuss updating and improving CCADB. <o:p></o:p></p><p>- Added a page called “Audit Letter Validation”. <o:p></o:p></p><p>- Added a page called “Formula Fields” to better describe calculation of trust bits and EV enablement. <o:p></o:p></p><p>- “Updating Audit Statements” with guidance for non-audit updates to entries that occur during an audit year. This is particularly useful for adding metadata such as URLs for full CRLs, etc. <o:p></o:p></p><p>Modified Task List on CCADB homepage by providing rich information on each task. Also added a filter for tasks by root program. <o:p></o:p></p><p>- Dimitris asked if full CRLs are required for technically constrained ICAs. Kathleen responded that the Root Program requirements are currently different; the new filter can be used in this case. <o:p></o:p></p><p>- Clint clarified that for the Apple Root Program, all ICAs will be required to make available full CRL information regardless of technical capability. <o:p></o:p></p><p>Reminder emails will be combined to a single email across all Root Programs. <o:p></o:p></p><p>CPA Canada has changed the convention used for URLs pointing to WebTrust audit statement PDFs. Old links will not work. <o:p></o:p></p><p>Intermediate certificate pages now include a field for the root cert and CA owner that the ICA chains to. <o:p></o:p></p><p>Kathleen reminded the group of the CCADB API that can be used to automate intermediate certificate uploads. <o:p></o:p></p><p>There were no additional questions. <o:p></o:p></p><h3 id="etsi_update">ETSI Update<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Arno Fiedler (Vice Chair ETSI ESI) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Clemens Wanko <o:p></o:p></p><p>ETSI standards adopt other standards that have been internationally supported wherever possible, this includes alignment of ETSI standards for website authentication certificates (QWACs) with CAB Forum guidelines <o:p></o:p></p><p>- Establish collaboration with Safe Identity, Asia PKI, Japan Network Security Association, Arab ICT Organisation, PKI Consortium, OpenIDConnect (under preparation), <o:p></o:p></p><p>- Contributed to ISO DIS 27099 on PKI Practices and policy framework, <o:p></o:p></p><p>- Monitoring UNCITRAL “Draft Provisions on the Use and Cross-border Recognition of Identity Management and Trust Services” finalized in Mid 2022 (?) <o:p></o:p></p><p>Update on TS 119 403-2 V1.2.4 (2020-11): Part 2: Additional requirements for Conformity Assessment Bodies auditing Trust Service Providers that issue Publicly-Trusted Certificates” (as in CA/Browser Forum) New work item on AAL updates (<a href="https://www.ccadb.org/policy#51-audit-statement-content" title="https://www.ccadb.org/policy#51-audit-statement-content">https://www.ccadb.org/policy#51-audit-statement-content</a>) will start soon. <o:p></o:p></p><h3 id="acab_c_update">ACAB'c Update<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Clemens Wanko (TÜV AUSTRIA) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Arno Fiedler <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Council Membership</span></strong> <o:p></o:p></p><p>Clemens reported a rising number of membership requests since Mozilla announced their Policy Update making the membership in the ACAB council mandatory for ETSI auditors. ACABc currently has two more EU CAB in membership application process. <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Quality Management at the ACAB council</span></strong> <o:p></o:p></p><p>The process and decision taking for peer reviews of ETSI Audit Attestations is under discussion within the council. Decision taking to be expected at next ACABc members meeting in March ‘22. <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Common certification program for ACAB’c member CAB</span></strong> <o:p></o:p></p><p>In order to further harmonize ETSI auditing amongst ACAB council members, key elements for a common audit scheme and certification program were discussed. Implementation suggestions are expected at next ACABc members meeting. <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>“ETSI auditors session with the Browsers”</span></strong> <o:p></o:p></p><p>As in the past, ETSI/ACAB’c suggested a common meeting with the browsers to be scheduled for next f2f in Poland (56.) & Germany (57.) <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>New eIDAS Features (reminder):</span></strong> <o:p></o:p></p><p>European Digital Identity Wallets will have to be provided by every EU member state. New the following Qualified Trust Services are expected to be defined within eIDAS 2: services for remote signing/sealing, attestation of attributes (to support the wallet), archiving and ledgers. <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Refreshed (unofficial) schedule for eIDAS 2 release:</span></strong> <o:p></o:p></p><p>The next update of the drafted eIDAS 2 is expected by end of March 2022. The so called toolbox (practical implementation guidance and samples) is expected to be ready by end of the year 2022. The eIDAS 2.0 release is currently foreseen for mid 2023 with getting into force with different grace periods depending on the specific eID and trust service. <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Important and to be kept in mind for CA and TSP under eIDAS:</span></strong> <o:p></o:p></p><p>Additional new rules are expected to become mandatory for CA/TSP under eIDAS 2.0: <o:p></o:p></p><p>- Regulation (EU) 2019/881 (Cyber Security) <o:p></o:p></p><p>- Regulation (EU) 2016/679 (GDPR) <o:p></o:p></p><p>- NIS 2 Directive (EU) 2022/xxx <o:p></o:p></p><p>- technical/process trustworthy systems and products (eIDAS Article 24 No. 5) <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Note:</span></strong> there are no news so far with regard to further treatment of QWACS (acceptance mandatory for operators/Browsers in the EU?) <o:p></o:p></p><p>For further information or in order to register, please contact us at: <a href="http://www.acab-c.com" title="http://www.acab-c.com">www.acab-c.com</a> <o:p></o:p></p><h3 id="webtrust_update">WebTrust Update<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Speakers</span></strong>: Jeff Ward and Don Sheehy <br><strong><span style='font-family:"Calibri",sans-serif'>Minute Taker</span></strong>: Tim Callan <o:p></o:p></p><h4 id="wetsi_webtrustetsi_in_cooperation">“WETSI” – WebTrust/ETSI in cooperation<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l2 level1 lfo9'>No specific discussions since December virtual meeting<o:p></o:p></li><li class=level1 style='mso-list:l2 level1 lfo9'>Continuing issues to be discussed on reporting and auditing<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l2 level2 lfo9'>Will include audits with outsourcing, subservice arrangements<o:p></o:p></li><li class=level2 style='mso-list:l2 level2 lfo9'>Trying to stay ahead of technology advances to keep requirements current<o:p></o:p></li></ul></ul><h4 id="impact_of_covid-19">Impact of COVID-19<o:p></o:p></h4><p>2020 - Issued - Practitioner guidance for auditors on COVID-19 <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l35 level1 lfo10'>Discussed areas that might impact auditors and CAs<o:p></o:p></li><li class=level1 style='mso-list:l35 level1 lfo10'>Potential for scope limitations in certain areas caused by inability to physically be onsite<o:p></o:p></li><li class=level1 style='mso-list:l35 level1 lfo10'>Provides examples of tools and approaches as best practices<o:p></o:p></li><li class=level1 style='mso-list:l35 level1 lfo10'>On CPA Canada’s web site (<a href="https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services" title="https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services">https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services</a>) <a href="http://www.webtrust.org" title="http://www.webtrust.org">www.webtrust.org</a> will redirect you <o:p></o:p></li></ul><p>2021 Early 2022 - Still relevant no change to practitioner guidance <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l5 level1 lfo11'>Will be reassessed at next WebTrust for CA meeting <o:p></o:p></li></ul><p>2020 - Issued - Practitioner guidance for reports on COVID-19 <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l40 level1 lfo12'>Provides examples of potential audit reports<o:p></o:p></li><li class=level1 style='mso-list:l40 level1 lfo12'>Provided electronically to registered WebTrust practitioners <o:p></o:p></li><li class=level1 style='mso-list:l40 level1 lfo12'>Not many COVID-19 seals have been issued<o:p></o:p></li><li class=level1 style='mso-list:l40 level1 lfo12'>There is not only the desire not to be onsite but also government restriction to deal with<o:p></o:p></li></ul><p>2021 & Early 2022 – Still relevant –proposed wording changes to be consistent with 2021 report modifications <o:p></o:p></p><p>2020 COVID- 19 Temporary WebTrust Seal <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l10 level1 lfo13'>Can be awarded in a limited circumstance <o:p></o:p></li><li class=level1 style='mso-list:l10 level1 lfo13'>All controls tested are ok, but scope limitation exists due to government mandated restrictions<o:p></o:p></li><li class=level1 style='mso-list:l10 level1 lfo13'>Good for 6 months – expectation that scope limitation will be eliminated at that point<o:p></o:p></li><li class=level1 style='mso-list:l10 level1 lfo13'>Seal is removed once the “clean” opinion is issued, when it is determined a report will be qualified/modified, OR six months, whatever happens first<o:p></o:p></li></ul><p>2021 process for deleting 2020 COVID- 19 Temporary WebTrust Seal <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l41 level1 lfo14'>If after 6 months no ability to remove issue, seal is removed and report stands – advise report users<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l41 level2 lfo14'>Or CA can remove seal if they know they will mis the 6 months deadline<o:p></o:p></li></ul><li class=level1 style='mso-list:l41 level1 lfo14'>If ability to solve issue and “clean” opinion is issued, remove seal and issue regular WebTrust seal.<o:p></o:p></li></ul><p>2021- Early 2022 same process as 2020 for awarding COVID- 19 Temporary WebTrust Seal <o:p></o:p></p><h4 id="updates_to_criteria">Updates to Criteria<o:p></o:p></h4><p>WebTrust Principles and Criteria for Certification Authorities - Verified Mark Certificates <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l22 level1 lfo15'>Version 1.0 – release date December 2021<o:p></o:p></li><li class=level1 style='mso-list:l22 level1 lfo15'>Based on the Minimum Security Requirements for the Issuance of Verified Mark Certificates – Version 1.1 August 2021<o:p></o:p></li><li class=level1 style='mso-list:l22 level1 lfo15'>Assurance reports have been developed based on latest reporting template project<o:p></o:p></li></ul><p>WebTrust for CA vs 2.2.2 <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l16 level1 lfo16'>In the introduction preceding the principles, it states that “The Certification Authority must disclose its key and certificate life cycle management business and information privacy practices. Information regarding the CA’s business practices should be made available to all subscribers and all potential relying parties, typically by posting on its Web site. Such disclosure may be contained in a Certificate Policy (CP) and/or Certification Practice Statement (CPS), or other informative materials that are available to users (subscribers and relying parties).”<o:p></o:p></li><li class=level1 style='mso-list:l16 level1 lfo16'>There was no specific requirement stating such however. <o:p></o:p></li><li class=level1 style='mso-list:l16 level1 lfo16'>The following has been added as a footnote to Principle 1.0. and is effective for ending on or after 15 July, 2021. “For a public CA, such disclosure should be conducted through publication of either the Certificate Policy (CP) and/or Certification Practice Statement (CPS) on its Web site. For a private CA, disclosure can be performed through alternative means, such as a corporate intranet or private web site access available to users (subscribers and relying parties).”<o:p></o:p></li><li class=level1 style='mso-list:l16 level1 lfo16'>Will be available on CPA Canada website once compliant with AODA<o:p></o:p></li></ul><p>Code Signing Baseline Requirements Version 2.7 <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l14 level1 lfo17'>Updated to address changes up to and including Version 2.7 of the Baseline Requirements for the Issuance and Management of Publicly-trusted Code Signing Certificates<o:p></o:p></li><li class=level1 style='mso-list:l14 level1 lfo17'>Effective date engagement periods commencing on or after 1 February 2022<o:p></o:p></li><li class=level1 style='mso-list:l14 level1 lfo17'>Please note that Version 2.2 merged EV and Non-EV. As a result, column references to EV CS have been eliminated.<o:p></o:p></li><li class=level1 style='mso-list:l14 level1 lfo17'>Will be available on CPA Canada website once compliant with AODA<o:p></o:p></li></ul><p>WebTrust Baseline with Network Security 2.6 <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l19 level1 lfo18'>Updated to address changes up to and including SSL Baseline Requirements v1.8.0 and Network Security Requirements v1.7.<o:p></o:p></li><li class=level1 style='mso-list:l19 level1 lfo18'>Effective date engagement periods commencing on or after 1 February 2022<o:p></o:p></li><li class=level1 style='mso-list:l19 level1 lfo18'>Will be available on CPA Canada website once compliant with AODA<o:p></o:p></li></ul><p>WebTrust Extended Validation SSL 1.7.8 <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l37 level1 lfo19'>Updated to address changes up to and including EV SSL Guidelines v1.7.8 and other clarifications<o:p></o:p></li><li class=level1 style='mso-list:l37 level1 lfo19'>Effective date engagement periods commencing on or after 1 February 2022<o:p></o:p></li><li class=level1 style='mso-list:l37 level1 lfo19'>Principle 2, Criteria 4.7 – Deleted as no longer contained in EV. Still required in Baseline Requirements (4.1.1)<o:p></o:p></li><li class=level1 style='mso-list:l37 level1 lfo19'>Will be available on CPA Canada website once compliant with AODA<o:p></o:p></li></ul><h4 id="current_status_of_updated_webtrust_documents">Current Status of Updated WebTrust Documents<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l8 level1 lfo20'>WebTrust for CA 2.2.2 <o:p></o:p></li><li class=level1 style='mso-list:l8 level1 lfo20'>WebTrust Baseline + NS vs 2.6<o:p></o:p></li><li class=level1 style='mso-list:l8 level1 lfo20'>WebTrust for Extended Validation vs 1.7.8<o:p></o:p></li><li class=level1 style='mso-list:l8 level1 lfo20'>WebTrust for Publicly Trusted Code Signing vs 2.7<o:p></o:p></li><li class=level1 style='mso-list:l8 level1 lfo20'>WebTrust for Extended Validation Code Signing vs 1.4.1 – deleted effective November 1 2020<o:p></o:p></li><li class=level1 style='mso-list:l8 level1 lfo20'>WebTrust for RA 1.01<o:p></o:p></li></ul><h4 id="updates_to_reporting_guidance">Updates to Reporting Guidance<o:p></o:p></h4><p>Updated Reporting Templates vs 2.0 <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l30 level1 lfo21'>Updated for changes to standards etc. since 2017<o:p></o:p></li><li class=level1 style='mso-list:l30 level1 lfo21'>Reporting examples for US, Canadian. and International short-form reports<o:p></o:p></li><li class=level1 style='mso-list:l30 level1 lfo21'>Reflecting new changes in AICPA guidance<o:p></o:p></li><li class=level1 style='mso-list:l30 level1 lfo21'>Updated to <o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l30 level2 lfo21'>reflect wording changes in reporting 2018-2021, <o:p></o:p></li><li class=level2 style='mso-list:l30 level2 lfo21'>new code-signing reporting (have eliminated EVCS, transitional reporting etc.) <o:p></o:p></li><li class=level2 style='mso-list:l30 level2 lfo21'>new verified mark certificate reporting <o:p></o:p></li><li class=level2 style='mso-list:l30 level2 lfo21'>additional reports not included in 2017 package <o:p></o:p></li><li class=level2 style='mso-list:l30 level2 lfo21'>All versions have same reports for consistency<o:p></o:p></li></ul><li class=level1 style='mso-list:l30 level1 lfo21'>Effective February 1, 2022<o:p></o:p></li><li class=level1 style='mso-list:l30 level1 lfo21'>Will be available on CPA Canada website once compliant with AODA<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l30 level2 lfo21'>If you need any of these in advance, reach out to Don or Jeff and they will get you a current draft<o:p></o:p></li><li class=level2 style='mso-list:l30 level2 lfo21'>We don’t expect significant changes to any of them<o:p></o:p></li></ul></ul><h4 id="new_projects_and_changes">New Projects and Changes<o:p></o:p></h4><p>Provision of additional information requested by Mozilla <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l33 level1 lfo22'>Working with Mozilla, illustrative template has been developed <o:p></o:p></li><li class=level1 style='mso-list:l33 level1 lfo22'>Versions for Canada, US and International reporting <o:p></o:p></li><li class=level1 style='mso-list:l33 level1 lfo22'>Some of items have been dealt with in assurance report<o:p></o:p></li><li class=level1 style='mso-list:l33 level1 lfo22'>Final changes suggested by Mozilla have been circulated to W4CA Task Force for agreement <o:p></o:p></li></ul><p>Outsourcing Issues - Carveout <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l18 level1 lfo23'>Dealing with issue as to whether carve-out reports will be permitted and ramifications thereof<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l18 level2 lfo23'>In the early days of WebTrust, it was standard that CAs did everything themselves. This approach has persisted. Carveout is now a prevalent practice in SOC-2 reporting.<o:p></o:p></li><li class=level2 style='mso-list:l18 level2 lfo23'>What happens when significant portions of operations are outsourced? If we carve out too much, is it really a useful report? For example, what if it’s less than half of the activities? Is it really a WebTrust report?<o:p></o:p></li></ul><li class=level1 style='mso-list:l18 level1 lfo23'>Seal Issues<o:p></o:p></li><li class=level1 style='mso-list:l18 level1 lfo23'>Usefulness?<o:p></o:p></li><li class=level1 style='mso-list:l18 level1 lfo23'>Ability of alternative reports on carved-out processes?<o:p></o:p></li><li class=level1 style='mso-list:l18 level1 lfo23'>Beginning discussions with browser community<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l18 level2 lfo23'>We have an issues paper.<o:p></o:p></li></ul><li class=level1 style='mso-list:l18 level1 lfo23'>Will also reach out to other audit schemes<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l18 level2 lfo23'>Includes ETSI<o:p></o:p></li></ul></ul><h4 id="practitioner_guidance_for_auditors">Practitioner guidance for auditors<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l7 level1 lfo24'>Version combines US, Canada and International<o:p></o:p></li><li class=level1 style='mso-list:l7 level1 lfo24'>Provides examples of tools and approaches as best practices<o:p></o:p></li><li class=level1 style='mso-list:l7 level1 lfo24'>Due to delays and increased use of remote testing techniques guidance is being updated<o:p></o:p></li><li class=level1 style='mso-list:l7 level1 lfo24'>New electronic techniques have been developed due to COVID<o:p></o:p></li><li class=level1 style='mso-list:l7 level1 lfo24'>CCADB may be a useful database for this<o:p></o:p></li><li class=level1 style='mso-list:l7 level1 lfo24'>New US reporting material on direct engagements being addressed <o:p></o:p></li><li class=level1 style='mso-list:l7 level1 lfo24'>Additional potential discussion on outsourcing, specific browser requirements being considered<o:p></o:p></li></ul><h4 id="detailed_controls_reporting">Detailed Controls Reporting<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l1 level1 lfo25'>No real changes since last update<o:p></o:p></li><li class=level1 style='mso-list:l1 level1 lfo25'>Field tested with some minor changes to system description<o:p></o:p></li><li class=level1 style='mso-list:l1 level1 lfo25'>Audit reports developed, US Canada and IFAC<o:p></o:p></li><li class=level1 style='mso-list:l1 level1 lfo25'>Will NOT be primary report for public seal <o:p></o:p></li><li class=level1 style='mso-list:l1 level1 lfo25'>Short form (current report) will be public facing report with seal<o:p></o:p></li><li class=level1 style='mso-list:l1 level1 lfo25'>Detailed report estimated to be about 200 pages long<o:p></o:p></li><li class=level1 style='mso-list:l1 level1 lfo25'>There is a SOC group looking at new SOC reporting, which we will follow as we work on this<o:p></o:p></li></ul><p>Component report template has been developed - A period of time report has been developed – point in time report does not have a section 4 <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l45 level1 lfo26'>Section 1- Overall audit results (opinion)<o:p></o:p></li><li class=level1 style='mso-list:l45 level1 lfo26'>Section 2- Management assertion<o:p></o:p></li><li class=level1 style='mso-list:l45 level1 lfo26'>Section 3- Description criteria (includes system description) <o:p></o:p></li><li class=level1 style='mso-list:l45 level1 lfo26'>Section 4- Detailed testing performed and results thereof<o:p></o:p></li><li class=level1 style='mso-list:l45 level1 lfo26'>Section 5 – Unaudited Information, such as Management comments <o:p></o:p></li></ul><h4 id="webtrust_reports_available_full_lifecycle">WebTrust Reports Available – Full Lifecycle<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l15 level1 lfo27'>Rootkey Generation Ceremony Report (Birth Certificate)<o:p></o:p></li><li class=level1 style='mso-list:l15 level1 lfo27'>Key Protection (Provides assurance that once a key is created and up to the point it is moved into production, it was properly safeguarded)<o:p></o:p></li><li class=level1 style='mso-list:l15 level1 lfo27'>Point In Time (As of date for testing the design and implementation of controls)<o:p></o:p></li><li class=level1 style='mso-list:l15 level1 lfo27'>Period of Time (Same as Point in Time, but also tests transactions over a period between 2-12 months to ensure controls are operating effectively) <o:p></o:p></li><li class=level1 style='mso-list:l15 level1 lfo27'>Key Transportation, Migration & Destruction <o:p></o:p></li><li class=level1 style='mso-list:l15 level1 lfo27'>Engagement applicability matrix updated January 2022 – will be published on CPA Canada website <a href="https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services/principles-and-criteria" title="https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services/principles-and-criteria">https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services/principles-and-criteria</a><o:p></o:p></li><li class=level1 style='mso-list:l15 level1 lfo27'>This is a roadmap to all the engagements<o:p></o:p></li><li class=level1 style='mso-list:l15 level1 lfo27'>Jeff or Don can provide a draft early if needed<o:p></o:p></li></ul><h4 id="cpa_canada_changes">CPA Canada – changes<o:p></o:p></h4><p>CPA Canada <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l42 level1 lfo28'>Anna–Marie Christian (replaced Janet Treasure with her retirement) – dual role of standards and seal<o:p></o:p></li><li class=level1 style='mso-list:l42 level1 lfo28'>Bryan Walker – lightly involved at this stage<o:p></o:p></li><li class=level1 style='mso-list:l42 level1 lfo28'>Kaylynn Pippo – staying involved in standards until someone else is hired<o:p></o:p></li><li class=level1 style='mso-list:l42 level1 lfo28'>Lilia Dubko – helps Anna-Marie. Probably the main contact for seals.<o:p></o:p></li><li class=level1 style='mso-list:l42 level1 lfo28'>Others will be hired.<o:p></o:p></li></ul><p>Consultant to CPA Canada <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l48 level1 lfo29'>Don Sheehy (Vice –chair)<o:p></o:p></li></ul><p>Task Force Members and Technical Support Volunteers <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l46 level1 lfo30'>Jeff Ward (chair) – BDO<o:p></o:p></li><li class=level1 style='mso-list:l46 level1 lfo30'>Tim Crawford - BDO<o:p></o:p></li><li class=level1 style='mso-list:l46 level1 lfo30'>Chris Czajczyc - Deloitte<o:p></o:p></li><li class=level1 style='mso-list:l46 level1 lfo30'>Dan Adam - Deloitte<o:p></o:p></li><li class=level1 style='mso-list:l46 level1 lfo30'>Donoghue Clarke - EY<o:p></o:p></li><li class=level1 style='mso-list:l46 level1 lfo30'>Zain Shabbir - KPMG<o:p></o:p></li><li class=level1 style='mso-list:l46 level1 lfo30'>David Roque - EY<o:p></o:p></li><li class=level1 style='mso-list:l46 level1 lfo30'>Adam Fiock - BDO<o:p></o:p></li><li class=level1 style='mso-list:l46 level1 lfo30'>Eric Lin - EY<o:p></o:p></li></ul><p>Reporting Structure/Roles <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l31 level1 lfo31'>Anna-Marie Christian replaced Janet Treasure who has retired – Overall WebTrust responsibility all facets (prev Seal system and licensing) responsibility<o:p></o:p></li><li class=level1 style='mso-list:l31 level1 lfo31'>Don Sheehy - Task Force and CABF liaison<o:p></o:p></li><li class=level1 style='mso-list:l31 level1 lfo31'>Jeff Ward - Chair of the WebTrust Task Force and primary contact<o:p></o:p></li><li class=level1 style='mso-list:l31 level1 lfo31'>All Task Force members provide WebTrust services to clients<o:p></o:p></li><li class=level1 style='mso-list:l31 level1 lfo31'>Volunteers are supported by additional technical associates and CPA Canada liaison but report to CPA Canada<o:p></o:p></li><li class=level1 style='mso-list:l31 level1 lfo31'>Others will be hired<o:p></o:p></li></ul><p>Question: [MISSED QUESTION: SOMETHING ABOUT CHINA. WILL GET FROM RECORDING] <o:p></o:p></p><p>Don: CPA Canada will actively work on it right away. It’s a high priority. Everyone who has the background on that decision isn’t at CPA Canada right now. <o:p></o:p></p><p>Jeff: There is a sense of urgency to accommodate all CAs. Those that are affected are aware of it. <o:p></o:p></p><p>People are thinking about COVID going away, but CPA Canada has built the new audit requirements for “the next bad thing.” Could be an act of war, another pandemic, etc. <o:p></o:p></p><h3 id="scwg_review_and_plans">SCWG Review and Plans<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Jos Purvis (Cisco) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Kati Davids (GoDaddy) <o:p></o:p></p><h4 id=work>2021 work<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l38 level1 lfo32'>Completed migration to Github for documents<o:p></o:p></li><li class=level1 style='mso-list:l38 level1 lfo32'>Currently transferring NetSec responsibilities to the working group. Almost complete, but not quite.<o:p></o:p></li><li class=level1 style='mso-list:l38 level1 lfo32'>Working on simplifying and clarifying BR language. Trying to make things easier to interpret.<o:p></o:p></li></ul><h4 id="looking_to_2022">Looking to 2022<o:p></o:p></h4><p>2 categories of work: <o:p></o:p></p><p>1. BR and EVG content updates <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l4 level1 lfo33'>Need to clarify and close loopholes, without making new ones or being too strict.<o:p></o:p></li><li class=level1 style='mso-list:l4 level1 lfo33'>Updating EVG to RFC3647 formatting. wanting to make sure content aligns in BR and in EVG. Example: -EVG has links in due date section in top, BR does not. We want to backport that into BRs<o:p></o:p></li><li class=level1 style='mso-list:l4 level1 lfo33'>Enormous work on generating the certificate profiles (years in the making, we are starting to see the light, not an oncoming train :)<o:p></o:p></li></ul><p>2. Process and Organizational <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l28 level1 lfo34'>Finished up transferring NetSec to WG<o:p></o:p></li><li class=level1 style='mso-list:l28 level1 lfo34'>How do we incorporate the output of the Netsec WG? Working on this. Do we automatically import, do we import by version number?<o:p></o:p></li><li class=level1 style='mso-list:l28 level1 lfo34'>Continuing work on integrating github processes into single source of truth & publication, example using it to publish ballots on the website. We want as much info in github as Single source of truth as possible. It can be hard to track changes if you aren't following the git repository. We want to make it easier to share and consume the updates as easily as possible. <o:p></o:p></li></ul><h3 id="cscwg_review_and_plans">CSCWG Review and Plans<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Bruce Morton (Entrust) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Bruce Morton (Entrust) <o:p></o:p></p><p>2021 Progress <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l20 level1 lfo35'>Rationalize EV requirements to minimize speacial EV callouts<o:p></o:p></li><li class=level1 style='mso-list:l20 level1 lfo35'>Address move to 4096-bit RSA<o:p></o:p></li><li class=level1 style='mso-list:l20 level1 lfo35'>Cleanup and clarify requirements<o:p></o:p></li><li class=level1 style='mso-list:l20 level1 lfo35'>Implement WebTrust for CSBR<o:p></o:p></li><li class=level1 style='mso-list:l20 level1 lfo35'>Address log data retention, based on ballot from SCWG<o:p></o:p></li><li class=level1 style='mso-list:l20 level1 lfo35'>Update CRL revocation date for invalidity, which supports revocation due to key compromise<o:p></o:p></li></ul><p>2022 Goals <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l13 level1 lfo36'>Complete Subscriber Private Key Protection ballot which has just started voting today (22 Feb 2022)<o:p></o:p></li><li class=level1 style='mso-list:l13 level1 lfo36'>CSBR to Pandoc/RFC 3647 format, which will be completed after the Private Key ballot is approved<o:p></o:p></li><li class=level1 style='mso-list:l13 level1 lfo36'>Signing Service requirements to support protection of keys for Subscriber<o:p></o:p></li><li class=level1 style='mso-list:l13 level1 lfo36'>How to mitigate risks with High Risk Applicants<o:p></o:p></li><li class=level1 style='mso-list:l13 level1 lfo36'>Validation for Open Source Project Applicants<o:p></o:p></li><li class=level1 style='mso-list:l13 level1 lfo36'>Time-stamping Updates (as applicable to code signing signatures)<o:p></o:p></li></ul><h3 id="smcwg_review_and_plans">SMCWG Review and Plans<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Stephen Davidson (DigiCert) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Renee Rodriguez (Apple) <o:p></o:p></p><p>Stephen presented the group accomplishments for 2021 and the goals for 2022. The group did not ask questions or discuss any topics. <o:p></o:p></p><p>As an introduction, Stephen highlighted some aspects that make the S/MIME working group different from other CABF working groups to reach a common understanding as not all participants (CAs and certificate consumers) are familiarized with TLS discussions. <o:p></o:p></p><p>While the group charter is similar to other working groups, there are three net new topics: 1. Certificate Profiles 2. Verification of control over email addresses 3. Identity validation for people <o:p></o:p></p><h4 id=accomplishments>2021 Accomplishments<o:p></o:p></h4><p>1. <strong><span style='font-family:"Calibri",sans-serif'>There is a draft of the standard</span></strong> available at <a href="https://github.com/cabforum/smime/blob/preSBR/SBR.md" title="https://github.com/cabforum/smime/blob/preSBR/SBR.md">github.com/cabforum/smime/blob/preSBR/SBR.md</a>. <o:p></o:p></p><p>2. <strong><span style='font-family:"Calibri",sans-serif'>An evaluation of existing standards helped defined the future Types/Tiers.</span></strong> The evaluation included guidelines/requirements from Microsoft, Mozilla, Gmail and US Federal Government. Additionally, a better understanding of uses cases and users was gained. All this was summed up as a list of profiles and Tiers. <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l29 level1 lfo37'>Types: Mailbox-validated(biggest case), Organization-validated, Sponsored-validated(enterprise case), Individual-validated<o:p></o:p></li><li class=level1 style='mso-list:l29 level1 lfo37'>Tiers: Legacy, Multipurpose, Strict (The Legacy Tier will help to get the existing market into an auditable framework as soon as possible)<o:p></o:p></li></ul><p>3. <strong><span style='font-family:"Calibri",sans-serif'>Some trends and needs were revealed.</span></strong> <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l43 level1 lfo38'>Clean separation of EKU where possible applies here too.<o:p></o:p></li><li class=level1 style='mso-list:l43 level1 lfo38'>Shorter targeted validity periods were included. Target validity periods is based on Tiers: Legacy is 1,095 days; Strict and Multipurpose is 825 days.<o:p></o:p></li></ul><p>4. <strong><span style='font-family:"Calibri",sans-serif'>There was discussion about less-common requirements</span></strong> related to CA settings and algorithms. <o:p></o:p></p><p>5. <strong><span style='font-family:"Calibri",sans-serif'>Learned that an important goal is to prevent negatively affecting other uses cases.</span></strong> For example, document signing certificates may be affected since the majority of document signing certificates also include the email protection EKU. This is being considered when creating stricter profiles. As a result, the S/MIME group supports creating a draft-ito-documentsigning-eku-00 for eventual separation of S/MIME from document signing (medium to long-term goal) <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>NOTE:</span></strong> Tim H. noted the a draft proposal for the document signing EKU is being discussed in IETF and CAs should participate. As IETF is a consensus body, at a minimum, CAs expressing base support would be helpful. <o:p></o:p></p><p>6. <strong><span style='font-family:"Calibri",sans-serif'>Time was invested on validation methods.</span></strong> Significant time went to discussion of suitable methods for: <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l26 level1 lfo39'>Organization Identity vetting - Focus on reusing existing work previously done<o:p></o:p></li><li class=level1 style='mso-list:l26 level1 lfo39'>Mailbox control - New method proposed including use of MX records (Google proposal).<o:p></o:p></li></ul><h4 id=targets>2022 Targets<o:p></o:p></h4><p>These are topics for discussion: <o:p></o:p></p><p>1. <strong><span style='font-family:"Calibri",sans-serif'>OrganizationIdentifier</span></strong>. At this point, alternatives include: a) EV's JOI and b) ETSI types of identifiers <o:p></o:p></p><p>2. <strong><span style='font-family:"Calibri",sans-serif'>Enterprise RA</span></strong>. Majority of SMIME certificates are issued by corporations, which makes this an important topic to cover, as well as the audit and supervision requirements <o:p></o:p></p><p>3. <strong><span style='font-family:"Calibri",sans-serif'>Individual vetting</span></strong>. (based upon methods in Code Signing BR and in ETSI TS 119 461). The intent is to include some other methods addressed in ETSI TS 119 461 (standard for identity proofing), used in KYC for financial services. This standard may continue evolving as new technologies are being created to facilitate remote validation <o:p></o:p></p><p>4. <strong><span style='font-family:"Calibri",sans-serif'>Archive and escrow</span></strong>. To be discussed as it involves complex aspects. <o:p></o:p></p><p>5. <strong><span style='font-family:"Calibri",sans-serif'>Organization Vetting</span></strong>. Legal Existence must be incorporated, however there is uncertainty on how deep into Operational and Physical existence the standard should go. <o:p></o:p></p><p>There are also some administrative aspects to consider: <o:p></o:p></p><p>6. <strong><span style='font-family:"Calibri",sans-serif'>Review adequacy of “pickup” sections from TLS BR</span></strong> <o:p></o:p></p><p>7. <strong><span style='font-family:"Calibri",sans-serif'>Survey remaining gaps in draft S/MIME BR</span></strong> <o:p></o:p></p><p>8. <strong><span style='font-family:"Calibri",sans-serif'>Ongoing collation of issues for later versions</span></strong>. GitHub has/will have the collection of topics for future enhancements. <o:p></o:p></p><p>9. <strong><span style='font-family:"Calibri",sans-serif'>Completion and publication of S/MIME BR Standard</span></strong>. <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l47 level1 lfo40'>Completion target date: by end of 2022.<o:p></o:p></li><li class=level1 style='mso-list:l47 level1 lfo40'>There is a need to define roadmap to a ballot <o:p></o:p></li><li class=level1 style='mso-list:l47 level1 lfo40'>Define approach to review draft <o:p></o:p></li><li class=level1 style='mso-list:l47 level1 lfo40'>Address comments<o:p></o:p></li><li class=level1 style='mso-list:l47 level1 lfo40'>Align standard availability with audit community and consumers (clients)<o:p></o:p></li></ul><h4 id="recommendations_based_on_experience">Recommendations Based on Experience<o:p></o:p></h4><p>1. Having a guide (perhaps, style guide) would be helpful for new writers. The draft used text from other documents and there is an inconsistent use of terminology based on the author (e.g., SHALL/MUST) <o:p></o:p></p><p>2. Since there is a lot of common text between the CABF documents, having a documented common basic structure across working group documents (BR of BRs) would also be helpful. Example for inclusion in such document: <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l11 level1 lfo41'>Definitions <o:p></o:p></li><li class=level1 style='mso-list:l11 level1 lfo41'>Norms about quoting accross documents (cross referencing a section versus copying text)<o:p></o:p></li><li class=level1 style='mso-list:l11 level1 lfo41'>Audit language<o:p></o:p></li></ul><p>3. Moving EV Guidelines (EVG) to RFC3647 would help the drafting of this document for correct allocation of text taken from EVG <o:p></o:p></p><h3 id="netsec_wg_review_and_plans">NetSec WG Review and Plans<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Clint Wilson (Apple) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Daniel Jeffery (Fastly) <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l23 level1 lfo42'>Clint Wilson presented<o:p></o:p></li><li class=level1 style='mso-list:l23 level1 lfo42'>No longer a subcommittee<o:p></o:p></li><li class=level1 style='mso-list:l23 level1 lfo42'>Clint became chair mid-year, from Neil<o:p></o:p></li><li class=level1 style='mso-list:l23 level1 lfo42'>Current items in flight<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l23 level2 lfo42'>Recharter and forum adoption of NetSec WG<o:p></o:p></li><li class=level2 style='mso-list:l23 level2 lfo42'>Passed our first ballot to re-adopt the NSRs<o:p></o:p></li><li class=level2 style='mso-list:l23 level2 lfo42'>Following through on SC38, made SC50 and SC51<o:p></o:p></li><li class=level2 style='mso-list:l23 level2 lfo42'>Restarting Risk Assessment work<o:p></o:p></li><ul type=square><li class=level3 style='mso-list:l23 level3 lfo42'>Major effort within the group right now<o:p></o:p></li></ul></ul></ul><h4 id=plans>2022 plans<o:p></o:p></h4><ul type=disc><li class=level1 style='mso-list:l34 level1 lfo43'>Focus and simplify the NSRs<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l34 level2 lfo43'>Explore incorporating external standards where CABF is not best suited to be maintaining the standards<o:p></o:p></li></ul><li class=level1 style='mso-list:l34 level1 lfo43'>Improve GitHub issue tracking to make it our SSOT<o:p></o:p></li><li class=level1 style='mso-list:l34 level1 lfo43'>Work to improve formatting and content of the NSRs<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l34 level2 lfo43'>Address ambiguities and clarify the goals and expectations<o:p></o:p></li><li class=level2 style='mso-list:l34 level2 lfo43'>Explore supplemental documentation such as illustrative controls<o:p></o:p></li></ul><li class=level1 style='mso-list:l34 level1 lfo43'>Restart the work around formalizing the conceptualization of variance in discrete CA infrastructure<o:p></o:p></li><li class=level1 style='mso-list:l34 level1 lfo43'>Discuss criteria of what constitutes success<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l34 level2 lfo43'>Clear problem statements<o:p></o:p></li><li class=level2 style='mso-list:l34 level2 lfo43'>Document some consensus around the solutions<o:p></o:p></li><li class=level2 style='mso-list:l34 level2 lfo43'>Strong drivers for the changes (owners)<o:p></o:p></li><li class=level2 style='mso-list:l34 level2 lfo43'>Participation in feedback loops as early as possible<o:p></o:p></li><li class=level2 style='mso-list:l34 level2 lfo43'>Sharing to the list to keep communication available and transparent<o:p></o:p></li></ul><li class=level1 style='mso-list:l34 level1 lfo43'>Mostly these are Clint's notes on how he wants to improve things as chair<o:p></o:p></li><li class=level1 style='mso-list:l34 level1 lfo43'>Open for questions<o:p></o:p></li><ul type=circle><li class=level2 style='mso-list:l34 level2 lfo43'>No questions<o:p></o:p></li></ul></ul><h3 id="infrastructure_subcommittee_review_and_plans">Infrastructure Subcommittee Review and Plans<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Leader:</span></strong> Jos Purvis (Cisco) <br><strong><span style='font-family:"Calibri",sans-serif'>Minutes:</span></strong> Dustin Hollenback (Microsoft) <o:p></o:p></p><h4 id=review>2021 Review<o:p></o:p></h4><p>Membership spreadsheet updated and re-tooled <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l49 level1 lfo44'>Previous spreadsheet was legacy before we had working groups<o:p></o:p></li><li class=level1 style='mso-list:l49 level1 lfo44'>Wayne Thayer (Fastly) did tremendous work on updating and rebuilding our spreadsheets for this in Google<o:p></o:p></li></ul><p>GitHub Actions added for publication and notifications <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l21 level1 lfo45'>Corey Bonnell (DigiCert) aligned GitHub with the mailers<o:p></o:p></li></ul><p>Ballot tables updated on the website <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l44 level1 lfo46'>Ben Wilson (Mozilla) has done work to provide historical details of ballots<o:p></o:p></li></ul><h4 id=priorities>2022 Priorities<o:p></o:p></h4><p>Automation is a big part of the work <o:p></o:p></p><p>Membership management <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l6 level1 lfo47'>Member management is still an enormously human process<o:p></o:p></li><li class=level1 style='mso-list:l6 level1 lfo47'>We now have a candidate for replacement of Sheets that introduces PHP and a backend database<o:p></o:p></li><li class=level1 style='mso-list:l6 level1 lfo47'>New member packet to provide resources for new members unfamiliar with how processes work<o:p></o:p></li></ul><p>Ballot process <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l36 level1 lfo48'>Balloting process documentation<o:p></o:p></li><li class=level1 style='mso-list:l36 level1 lfo48'>Looking for ballot shepherds who are familiar with the process and can help others through the process<o:p></o:p></li><li class=level1 style='mso-list:l36 level1 lfo48'>Publishing ballots via GitHub<o:p></o:p></li></ul><p>Lower level priorities that hope to be accomplished <o:p></o:p></p><p>Forum-level docs to GitHub <o:p></o:p></p><p>Explore wiki alternatives or additions <o:p></o:p></p><ul type=disc><li class=level1 style='mso-list:l9 level1 lfo49'>Media management<o:p></o:p></li><li class=level1 style='mso-list:l9 level1 lfo49'>Markup differences. Not everyone is familiar with Markdown and there may be a better way.<o:p></o:p></li></ul><h2 id="wednesday_23_february_2022_-_cab_forum_meeting_day_2">Wednesday, 23 February 2022 - CA/B Forum Meeting (Day 2)<o:p></o:p></h2><p>The antitrust statement was read. <o:p></o:p></p><p>Attendees: Dimitris Zacharopoulos, Martijn Katerbarg, Arnold Essing (guest), Yoshiro Yoneya, Don Sheehy, Dean Coclin, Tyler Myers, Joanna Fox, Fumihiko Yoneda, Roman Fischer, Kathleen Wilson, Joseph Nigut, Eva Van Steenberge, Matthias Wiedenhorst, Atushi Inaba, Prachi Jain, Rich Smith, Raffaela Achermann, Mads Henriksveen, Pedro Fuentes, Inigo Barreira, Michael Sykes, Aaron Gable, Adam Jones, Adrian Mueller, Andrea Holland, Andreas Henschel, Aneta Wojtcsak, Arno Fiedler, Ben Wilson, Brittany Randall, Bruce Morton, Paul van Brouwershaven, Michelle Coon, Jeff Ward, Curt Spann, Peter Miskovic, Hubert Chao, Corey Bonnell, Pekka Lahtiharju, Tsung-Min Kuo, Tobias Josefowitz, Clint Wilson, Kati Davids, Trevoli Ponds-White, Nikos Soumelidis (guest), Doug Beattie, Clemens Wanko, Georgy Sebastian, Rob Stradling, Jos Purvis, Nick France, Tim Crawford, Jeremy Rowley, Chris Kemmerer, Tadahiko Ito, Niko Carpenter, Thomas Zermeno, Daniel Jeffery, Janet Hines, Daryn Wright, Li-Chun Chen, Dustin Hollenback, Ian McMillan, Wendy Brown, Yoshihiko Matsuo, Rae Ann Gonzales, Enrico Entschew, Karina Sirota, Marcelo Silva, Heather Warncke, Rebecca Kelley, Rachel McPherson, Yamian Quintero, Jamie Mackey, Leo Grove, Ryan Dickson, Sissel Hoel, Stephen Davidson, Tim Callan, Tim Hollebeek, Wayne Thayer, Peter Thomassen (guest)<o:p></o:p></p><h3 id="code_of_conduct">Code of Conduct<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Speaker</span></strong>: Jos Purvis <br><strong><span style='font-family:"Calibri",sans-serif'>Minute Taker</span></strong>: Tim Callan <o:p></o:p></p><p>Jos: Over the past couple weeks I have been made aware of behavior from organizations that are over the line or pushing the line. If you see anything that does not meet the code of conduct, please let me know. The code of conduct says we should have the ability for reasonable people to disagree. It’s easy when we’re using electronic communication to miss that someone didn’t mean something the way they wrote it. I remind you to assume the best intentions, and also that you should reread what you wrote and see if it can be interpreted in a worse way than you intended. Be friendly. Be gentle. Not everyone has the same background as you do. It’s hard if they’re not privy to all the history you have. We tend to assume that a lot of this is more black and white than it is, and it isn’t. Please think about what you’re writing and reading and assume the best intentions. <o:p></o:p></p><h3 id="commscope_membership_application">CommScope membership application<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Speaker</span></strong>: Jos Purvis <br><strong><span style='font-family:"Calibri",sans-serif'>Minute Taker</span></strong>: Tim Callan <o:p></o:p></p><p>CommScope is a CA with offices in North Carolina and other places in the US. Joss: CommScope has applied for membership and doesn’t have an application with any of the root programs that we know of. I believe they should be admitted as an interested party and have done so. <o:p></o:p></p><p>Ben Wilson: Somebody could apply and their application could be too void of detail and proof to be considered. <o:p></o:p></p><p>Joss: Admission as an associate member is not automatic. Still needs to be approved. We should probably stress that. They will stay as an interested party until root program applications come in. <o:p></o:p></p><h3 id="revocation_reason_codes_and_revocation_for_key_compromise">Revocation Reason Codes and Revocation for Key Compromise<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Speakers</span></strong>: Kathleen Wilson and Ben Wilson <br><strong><span style='font-family:"Calibri",sans-serif'>Minute Taker</span></strong>: Wayne Thayer <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Draft Policy</span></strong>: <a href="https://docs.google.com/document/d/1ESakR4MiwyENyuLefyH2wG8rYbtnmG1xeSYvDNpS-EI/edit?usp=sharing" title="https://docs.google.com/document/d/1ESakR4MiwyENyuLefyH2wG8rYbtnmG1xeSYvDNpS-EI/edit?usp=sharing">https://docs.google.com/document/d/1ESakR4MiwyENyuLefyH2wG8rYbtnmG1xeSYvDNpS-EI/edit?usp=sharing</a> <o:p></o:p></p><p>Kathleen shared the Draft Policy about CRLRevocation Reason Codes for TLS End-Entity Certificates <o:p></o:p></p><p>This is Mozilla-specific policy at this time. <o:p></o:p></p><p>Mozilla considers revocation a priority and is implementing CRLite. Policy version 2.8 will require CRLs for TLS certificates <o:p></o:p></p><p>Mozilla has not decided on which reason codes will cause the browser to hard fail (block the connection) <o:p></o:p></p><p>Proposed effective date of this requirement is for revocations after 1-October 2022 <o:p></o:p></p><p>CAs should use their best judgement to determine if a reason code for a previously revoked certificate should be updated based on this policy. <o:p></o:p></p><p>Kathleen began to review the draft policy, going section-by-section <o:p></o:p></p><p>Jeremy Rowley asked why this is limited to TLS. Kathleen said that TLS is the priority, but this may be extended to S/MIME in the future. <o:p></o:p></p><p>Aaron Gable said that the first paragraph had been misinterpreted as banning the default reason code 0. Kathleen pointed out the statement in the policy that makes this clear: “When the CRLReason code is not one of the following, then the reasonCode extension MUST NOT be provided.” <o:p></o:p></p><p>Kathleen said that the BRs already forbid reason code 0. This policy shouldn't conflict with the BRs. <o:p></o:p></p><p>Trevoli Ponds-White said that the policy does ban the other reason codes. It's these codes or no reason code. Kathleen confirmed. <o:p></o:p></p><p>Curt Spann asked why other reason codes are not permitted? Kathleen said that the other codes are simply not applicable. For example, CA compromise doesn't apply to end-entity certificates. <o:p></o:p></p><p>Curt asked why not just ignore them. Kathleen said they are striving for consistency in how reason codes are used. <o:p></o:p></p><p>Jeremy asked if allowing no reason code supports the goal of consistency? <o:p></o:p></p><p>Aaron said that lower in the document there are requirements for when a reason code must be used. <o:p></o:p></p><p>Doug Beattie asked if these requirements also apply to OCSP responses? Kathleen said that Mozilla's goal is to rely on CRLs for CRLite and to stop checking OCSP. <o:p></o:p></p><p>Doug asked if the URL of the CRL will come from CCADB. Kathleen said yes. <o:p></o:p></p><p>Doug clarified that CRLDP will not be required to be included in the certificate. <o:p></o:p></p><p>Dimitris Zacharopoulos noted that the BRs require consistency between OCSP and CRL revocation reason codes for a certificate. <o:p></o:p></p><p>Corey Bonnell asked if there should be an exception for 'certificate hold' in OCSP responses per RFC 6960 'extended revoke'. Kathleen said she would follow up on this. <o:p></o:p></p><p>The next paragraph adds a requirement to inform Subscribers about reason codes in the CA's Subscriber Agreement. <o:p></o:p></p><p>Trev expressed concern that Subscribers will not understand these reason codes and the language will be scary. She said that more approachable language would be helpful The most common reason that Amazon Subscribers revoke certificates is because they were told by their Security team that it's their internal policy to revoke unused certs. None of the reaosn codes make sense for a Subscriber in this situation. Kathleen said that additional requirements are not being placed on the Subscriber, and Mozilla can add a wiki page containing recommendations. <o:p></o:p></p><p>Trev said that CAs are going to be better at picking reason codes. <o:p></o:p></p><p>Yoshiro Yoneya asked about the last sentence in the paragraph stating the “default value meaning that no revocation reason is provided” is ambiguous. Kathleen said that this is meant to mean reason code 0 “unspecified”. This will be clarified. <o:p></o:p></p><p>Aaron Gable said that the phrasing of bullet 5 under keyCompromise is odd “…with the scope of revocation being described below:” <o:p></o:p></p><p>Tim Hollebeek said that the language about determining if a key has been compromised points out that there is no standardized way of demonstrating posession of the private key. It would be nice if there was a standard for doing so. <o:p></o:p></p><p>Jos Purvis asked if it would be reasonable to document a few non-exclusive ways to confirm possession. <o:p></o:p></p><p>Inigo Barreira commented that CRLs and OCSP can be out of synch. Ben suggested that Mozilla could add language to require consistency. <o:p></o:p></p><p>Kathleen said that there should be separate discussions about what it means to prove possession of a private key. <o:p></o:p></p><p>Doug said that the language here says that the Subscriber can request revocation for key compromise without proving possession. Anyone else would need to prove possession. <o:p></o:p></p><p>Roman Fisher said that you should not use an existing CSR to prove possession, but a new one could be used. Kathleen said that the reuse of CSRs is a discussion for the CAB Forum. <o:p></o:p></p><p>Tim said that the existing language could be interpreted as forbidding the use of any CSR to prove key possession, but it could be secure in some circumstances. <o:p></o:p></p><p>Corey Bonnell said that there was a discussion about backdating the revocation date in the Code Signing WG. This is a SHOULD NOT in RFC 5280, but the code signing WG clarified that this is permitted. Corey suggested adding similar language here. Kathleen agreed. <o:p></o:p></p><p>Dimitris asked why backdating makes sense for TLS certificates and said that updating the revocation date in the CRL doesn't make sense for TLS. <o:p></o:p></p><p>Doug said that he is not a fan of using keyCompromise for the example of the subscriber notifying the CA that the request was not authorized. Kathleen said that the reason is that someone other than the domain owner has the private key for that domain. Ben said that it doesn't squarely fit in one or the other. <o:p></o:p></p><p>Tim said that he agrees with Doug and privilege withdrawn is better in this circumstance. The key is not compromised in this case. <o:p></o:p></p><p>Kathleen said that the two examples under keyCompromise were originally under provilegeWithdrawn and will be moved back. Aaron asked if the CA works with the Subscriber to replace the certificate because domain validation was not performed properly, should the reason code be superseded instead of privilegeWithdrawn? <o:p></o:p></p><p>Trev asked if cessationOfOperation makes sense when a Subscriber has switched to a new certificate rather than superceded. Kathleen said that she recalls ETSI requiring cessationOfOperation, and CAs asked for both options. <o:p></o:p></p><p>Trev said that Subscribers will ask for certificates to be revoked when replacing them. Providing a revocation reason is a potential privacy concern because it forces Subscribers to disclose information about their operations in a case when revocation is a policy decision. Kathleen said that she expects most revocations will not have a reason code. We need to make that clear to Subscribers. <o:p></o:p></p><p>Trev said that revocation tools/UI must allow Subscribers to choosse a reason, so this policy means that CAs must educate Subscribers about revocation reasons. <o:p></o:p></p><p>Aaron said that a lot of the descriptions for why to use a reason say 'use this unless…' He suggested ordering them in order of priority with keyCompromise at the top (most critical), followed by privilegeWithdrawn, affiliationChanged, cessationOfOperation, and Superceded. <o:p></o:p></p><p>Curt asked why Subscribers would choose anything other than keyCompromise if Mozilla won't do anything with them? Kathleen said that Mozilla hasn't decided when to hard fail. <o:p></o:p></p><p>Curt said that Subscribers may not understand the impact of choosing one reason code versus another. <o:p></o:p></p><p>Dimitris said that keyCompromise is the low hanging fruit, so perhaps the initial version of this policy should only cover keyCompromise while language for other revocation reasons is improved. Kathleen said that they are tackling everything all at once due to timing. It will be a whole year after the implementation date before Mozilla can depend on these reason codes, and Mozilla doesn't want to delay further. <o:p></o:p></p><p>Dimitris said that a phase in approach for Subscribers would help them to digest the change. <o:p></o:p></p><p>Trev said that there will be downstream impact to other browsers. Subscribers will want to know how other browsers will treat their certificates based on the revocation reason given. <o:p></o:p></p><p>Kathleen asked what the proper forum is for this discussion. <o:p></o:p></p><p>Jos said that the Server Certificate WG is the proper forum. He suggested that if this is to be a broader polict, browsers propose a ballot to drive discussion, with an eventual goal of placing these requirements into the BRs. Kathleen said that once the current issues are addressed, Ben will make a proposal to the CAB Forum. <o:p></o:p></p><p>Wayne Thayer asked about Kathleen's earlier statement on changing reason codes after revocation. Kathleen clarified that her statement was related to certificates issued prior to the effective date. Wayne said that his concern is different. How has the discussion on the list about updating revocation reason after the initial revocation been addressed? Kathleen pointed to the SHOULD requirement in the policy to change the reason to keyCompromise if compromise is confirmed. Wayne said that he is concerned about what the policy doesn't say - that the CA MAY change the revocation reason for other reasons after initial revocation. Kathleen said that she would consider adding this statement to the policy. <o:p></o:p></p><p>Rob Stradling asked when Mozilla will decide what other reason codes will be hard fail? Kathleen said that from her recollection, affiliationChanged and cessationOfOperation were possibly the others under consideration. CRLite will be released before Mozilla can depend on these reason codes. There will be data from the implementation of this policy to inform the decision before it is made. <o:p></o:p></p><p>Wendy asked what reason code to use for insufficient entropy? Ben suggested superceded. <o:p></o:p></p><p>Curt said that Apple is also looking at this. Is the goal to hard fail on all of the permitted reason codes? If so, why do the reason codes matter? Kathleen said that her end goal is to hard fail on all of these. Curt said that they see many revocations that would not require hard fail, so it would be nice to see different outcomes. Ben said that superceded should be used for significant events such as 63-bit serial numbers, not just because a certificate was replaced. This needs to be discussed. <o:p></o:p></p><p>Aaron said that he likes the fact that this proposal makes it clear that cessationOfOperation is clearly the code to use when someone other than the Subscriber proves domain control. <o:p></o:p></p><h3 id="validation_subcommittee_progress_report">Validation Subcommittee Progress Report<o:p></o:p></h3><p>The antitrust statement was read. <o:p></o:p></p><p><strong><span style='font-family:"Calibri",sans-serif'>Speaker</span></strong>: Corey Bonnell <br><strong><span style='font-family:"Calibri",sans-serif'>Minute Taker</span></strong>: Dimitris Zacharopoulos <o:p></o:p></p><p>Slides are published here <strong><span style='font-family:"Calibri",sans-serif'>(Dean/Jos, please update the link with a public one)</span></strong>: <a href="https://wiki.cabforum.org/_media/scwg/2022_spring_validation_sc.pdf" title="https://wiki.cabforum.org/_media/scwg/2022_spring_validation_sc.pdf">https://wiki.cabforum.org/_media/scwg/2022_spring_validation_sc.pdf</a> <o:p></o:p></p><p>Corey read the Antitrust Statement and the meeting agenda. <o:p></o:p></p><p>No additional discussion based on the presentation. <o:p></o:p></p><p>Dimitris asked the validation SC for a second endorser for the Onion-cleanup ballot. <o:p></o:p></p><p>Discussion on the non-TLS ICA profile <o:p></o:p></p><p>Corey did an introduction to the topic. <o:p></o:p></p><p>What is a non-TLS ICA profile? An ICA issued by a CA which is in-scope of the BRs but the child ICA contains an extKeyUsage extension with KeyPurposeId that is not id-kp-serverAuth. For example, an ICA that contains the codeSigning EKU but is issued by a Root that is trusted in Microsoft Root Store for server TLS, would be a non-TLS ICA. <o:p></o:p></p><p>Tim H.: Conflict of scope. It is inappropriate for the serverCert WG to describe what non-TLS ICA is. However, it could include basic requirements like parsing ASN.1 correctly, properly formatted, etc. This came up during governance reform. The is a need for a baseline baseline that need to be coordinated accross all certificate types. Similarly with the NetSec WG for logging requirements. Some requirements might span accross multiple WGs. Instead of writing full non-TLS ICA profile, perhaps write requirements for acceptable criteria for these non-TLS ICA. Clint W.: Would these requirements work retroactively for malformed ICAs? Tim H.: Probably going forward but he doesn't believe this is currently an issue because if an ICA couldn't be parsed to determine EKU, it is already in violation. Clint W: That seems reasonable. <o:p></o:p></p><p>Doug: Agree with Tim. Root Programs already have requirements for disclosure for CA Certificates so they should all be able to be parsed. <o:p></o:p></p><p>Jeremy: To Tim's point, baseline-baseline is important so we don't define all EKUs in the Baseline Requirements. Issue a Certificate that does not meet RFC 5280. Is that allowed? Adobe DocSigning EKU, not in 5280. If used, it might be considered a violation. <o:p></o:p></p><p>Dimitris: Need to ensure that if an Intermediate Certificate contains an EKU that is not the serverAuth or anyEKU, it is a non-TLS technically constrained (in terms of server TLS) and therefore whatever it issues is out of BRs scope (even violations to RFC 5280). <o:p></o:p></p><p>Corey: Would it be a violation to issue an S/MIME (non-TLS) technically constrained subCA with a non-critical Name Constraints extension? <o:p></o:p></p><p>Ben: It should be tackled by the S/MIME WG <o:p></o:p></p><p>Tim H: It's more complicated. Some operations are clearly in-scope and some are clearly out-of-scope. <o:p></o:p></p><p>Ben: Is there an issue of scope of the BRs document that should be addressed? Tim agreed. <o:p></o:p></p><p>Jeremy: For Subordinate CA Certificates that are not used to issue TLS certificates, then the value id-kp-serverAuth [RFC5280] MUST NOT be present. Other values MAY be present, but SHOULD NOT combine multiple independent key purposes (e.g. including id-kp-timeStamping [RFC5280] with id-kp-codeSigning [RFC5280]). For example, this language has a should not that applies to clearly non-tls. Seems like the servercert-wg is trying to govern non-TLS area <o:p></o:p></p><p>Bruce: Should each WG BR include a clear scope in the beginning of the document? <o:p></o:p></p><p>Scoping is an issue for a Root that is in scope of multiple types. <o:p></o:p></p><p>Tim H.: Each WG can define an ICA profile but nothing prevents a future WG that makes things in scope of two existing WGs. ICA that allows docSigning and clientAuth EKU. It's ok for a shared hierarchy. <o:p></o:p></p><p>Bruce: Would probably be solved by the charter of the WG to avoid the conflict. <o:p></o:p></p><p>Dimitris: A most clear example is the id-kp-timestamping EKU (used for codeSigning and documentSigning) and the id-kp-emailProtection that is used by S/MIME and documentSigning. <o:p></o:p></p><p>Bruce pointed out that this would make it very difficult to follow both charters and requirements in the same CA chain, but that this might be the idea. <o:p></o:p></p><p>Corey: Two approaches. The creation of a BR-BR (increase the timeline). The most expedient approach would be to remove it from v1. What do members think? <o:p></o:p></p><p>Tim H: The intent was to fix and clarify existing requirements. Would be open that this is not a v1 type. <o:p></o:p></p><p>Dimitris disagreed for the same reason. There was a CA that posted questions in the questions list with concerns about what a non-TLS ICA looks like and was uncertain/unclear with the existing BRs language. He believes it should be clarified and the draft language is already in good shape. There were some final questions regarding the criticality of the NC extension for non-TLS ICAs and once we tackle that, we're probably done. <o:p></o:p></p><p>Trev, Wayne propose to make progress without making challenging changes. Perhaps create a separate ballot to define a non-TLS ICA and have a separate discussion. Clint agreed. <o:p></o:p></p><p>Tim: OCSP/CRL for these non-TLS ICAs is another can of worms. <o:p></o:p></p><p>Dimitris: A Root that is in-scope of multiple hierarchies may have conflicting requirements for OCSP/CRL but not the ICAs. <o:p></o:p></p><p>Jeremy: For example revocationReasons might be seen differently by Relying Parties <o:p></o:p></p><p>Clint: These seem theoretical and seem extreme. He doesn't anticipate direct conflicts and doesn't think they are likely to cause problems. <o:p></o:p></p><p>Curt: A Root key must be able to sign “approved objects”. <o:p></o:p></p><p>Ben: This is already happening today <o:p></o:p></p><p>Wendy: As long as Root programs allow multiple purposes under their program, this is allowed today. <o:p></o:p></p><h2 id="thursday_24_february_2022_-_cab_forum_meeting_day_3">Thursday, 24 February 2022 - CA/B Forum Meeting (Day 3)<o:p></o:p></h2><h3 id="smime_certificate_working_group_meeting">S/MIME Certificate Working Group Meeting<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Speaker</span></strong>: Stephen Davidson (Digicert) <strong><span style='font-family:"Calibri",sans-serif'>Minute Taker</span></strong>: Eva <o:p></o:p></p><p>Member attendees: Adrian Mueller, Andreas Henschel, Andrea Holland, Aneta Wojtczak, Ben Wilson, Bruce Morton, Chris Kemmerer, Clemens Wanko, Clint Wilson, Corey Bonnell, Curt Spann, Dean Coclin, Dimitris Zacharopoulos, Don Sheehy, Doug Beattie, Enrico Entschew, Eva Van Steenberge, Inaba Atsushi, Inigo Barreira, Jamie Mackey, Joanna Fox, Jos Purvis, Li-Chun Chen, Mads Henriskveen, Martijn Katerbarg, Matthias Wiedenhorst, Michael Sykes, Nick France, Niko Carpenter, Paul van Brouhershaven, Pedro Fuentes, Pekka, Rachel McPherson, Raffaela Acckerman, Renne Rodriguez, Rich Smith, Ryan Dickson, Stephen Davidson, Tadahiko Ito, Tim Callan, Tim Crawford, Tsung-Min Kuo, Wendy Brown, Darren Wright, Heather Warnicke, Josef Nigut, Peter Miskovic, Trevoli Ponds-White, Yoshiro Yoneya, Rebecca Kelley, Leo Grove, Arnold Essing, Yamian Quintero<o:p></o:p></p><p>Dean read the antitrust statement. <o:p></o:p></p><p>Additional materials are at <a href="https://wiki.cabforum.org/_media/smcwg/smcwg_20220222_f2f.pdf" title="https://wiki.cabforum.org/_media/smcwg/smcwg_20220222_f2f.pdf">https://wiki.cabforum.org/_media/smcwg/smcwg_20220222_f2f.pdf</a> Draft S/MIME BR are at <a href="https://github.com/cabforum/smime/blob/preSBR/SBR.md" title="https://github.com/cabforum/smime/blob/preSBR/SBR.md">https://github.com/cabforum/smime/blob/preSBR/SBR.md</a> <o:p></o:p></p><p>3 main topics: <o:p></o:p></p><ol start=1 type=1><li class=level1 style='mso-list:l24 level1 lfo50'>Enterprise RA<o:p></o:p></li><li class=level2 style='mso-list:l24 level1 lfo50'>Individual identity validation<o:p></o:p></li><li class=level2 style='mso-list:l24 level1 lfo50'>Road to Ballot<o:p></o:p></li></ol><p>ENTERPRISE RA <o:p></o:p></p><p>Why important? Majority of certificates. <o:p></o:p></p><p>Difference between Enterprise RA and Delegated Third Party not always well defined. Important to deliniate the difference between both. What are they allowed to do, and what are the audit obligations. <o:p></o:p></p><p>Enterprise RA can only issue to internal users, org validated profile, or sponsor validated profile. Locked to organization information and pre-approved email domains. Some companies will want to use the mailbox control method - how do we deal with that? This came up in earlier calls. Can still issue to external users, with the mailbox validated profile where the mailbox control vetting is being performed by the ca itself. <o:p></o:p></p><p>Enterprise RAs, their employee records would be considered authoritative sources when it comes to individual vetting (specifically the sponsored validated profile). <o:p></o:p></p><p>Unconstraint delegated RA carries full audit obligations. This slide talks about all Delegated RAs, and Enterprise RA is considered a subset of delegated RA. - Ben Wilson: is there a definition of an Enterprise RA as a subset of Delegated RA? - Stephen: There is, but it needs to be revisited. Will tweak once everyone's in agreement. The current text is from the TLS BRs. - Bruce Morton: Delegated RA should be independently audited, right, and the Enterprise RA is an extension of the CA, but with limited privileges but are not under audit. It doesn't feel like a subset, but just a different thing. - Ben Wilson: yes, this is cleaner, not one being a subset of the other, just two different concepts that can evolve independently. When a new situation comes up, that itself can be either a subset of an Enterprise RA or a Delegated RA, or maybe come up with a separate third concept. <o:p></o:p></p><p>Need to further clarify the buckets. <o:p></o:p></p><p>(Reading of the slide, 1.3.2 Registration authority) This is taken directly from the TLS BRs. <o:p></o:p></p><p>A new section was added, and modified quite heavily. <o:p></o:p></p><p>(Reading of the slide, section on the Enterprise RA.) <o:p></o:p></p><p>One change that will need to be made is acknowledging the new section that was added, 3223, which is also relevant here. <o:p></o:p></p><p>Mads Henriksveen - Buypass: Taking a step back, what is the relation between Enterprise RA and Delegated RA? In the previous slide it said “with the exception of 3.2.2.” one could delegate certain actions, but what we're seeing here is 3.2.2 for an Enterprise RA. So here it seems that there's some distance between the two? <o:p></o:p></p><p>What you're seeing there is slippage in the section numbers in the editing. <o:p></o:p></p><p>Ben: 3.2.2, what we're seeing was what can or can't be delegated with regard to the domain part. As long as both approaches have a form of domain validation and that gets performed, we can fix the language to address that this is being done. <o:p></o:p></p><p>Similar to treatment in TLS BRs where domain validation can't be delegated. No delegation of mailbox control / maildomain validation. <o:p></o:p></p><p>Mads: So the reference should be to section 3.2.2.1 then, related to domain validation or mailbox control? <o:p></o:p></p><p>Ben: No, because there's a domain part, and if you're delegating the domain name space, then you would have to do it. If you're doing mailbox validation, I am not sure I am using the right terminology, (…). The next comment I was going to make, it appears that we can allow the delgation of the validation of the mailbox to a third party. <o:p></o:p></p><p>No. All of the methods in 3.2.2.2 must be performed by the CA. No delegation of mailbox control. There are three methods: Email domain control (TLS BRs), control of individual mailbox, mx records. All of these will need to be performed by the CA. Not delegated. <o:p></o:p></p><p>Mads: Enterprise RA slide says this is possible for the Enterprise RA, <o:p></o:p></p><p>No, in both cases it should be the CA, confirm that the Enterprise RA has control over the email box. <o:p></o:p></p><p>Mads: I agree. <o:p></o:p></p><p>Ben Wilson: Not taking side, just something to think about. Something to consider on invidiual mailbox control, can this be delegated to a third party? Thinking of a use case, there's an org or corporate intranet/extranet, they don't want the CA to handle/interface with the individuals, they'd rather have that relationship be through them. <o:p></o:p></p><p>Stephen: They are welcome to do that, but they'd need an independent audit, similar to TLS BRs. <o:p></o:p></p><p>Wendy posted a comment. Clearer signposting between both is required, <o:p></o:p></p><p>Dimitris Zacharopoulos - HARICA: Enerprise RA is basically one of the customers of the CA, validated their domain namespace, and they can use that to an issue any smime cert for any email address that ends in a domain that's already validated by the CA. Issue for their own employees. <o:p></o:p></p><p>Many of the Enterprise RAs may want to issue certificates for counterparties they are dealing with. This provides a way to issue mailbox validated at certain times, to external. <o:p></o:p></p><p>Dimitris: this would make them a Delegated RA that needs to be audited? <o:p></o:p></p><p>Except that there's nothing in the certificate. In the description in section 3.2 there's three buckets of vettings. Mailbox, Org details and individual details. The mailbox validated policity doesn't have org or individual details, only email address, and that vetting has to be done by the CA, so no audit obligation would fall on the RA. <o:p></o:p></p><p>Dimitris: yes, Enterprise doesn't do anything, just notifies the CA to validate a different entity. We don't need to set rules surrounding that. In EV Guidelines it's clear that this is a customer that has established a connection, the CA has validated the domain name, the org and the attributes, and the Enterprise RA is allowed to issue under that. Consistency between the guidelines. <o:p></o:p></p><p>Thing that needs to be added is an additional line, reiitering some text on the obligation to retain records for individual vetting. <o:p></o:p></p><p>This clarifies that there needs to be a contractual requirement that outlines the obligations of the enterprise RA. <o:p></o:p></p><p>Ben: move that last sentence up, and delete that second sentence? It seems to mean that you have to do either or, or both, sort of leading into you can't do this, unless things are done. <o:p></o:p></p><p>I guess it's “OR”. The first is org or sponsor validated, the second one is mailbox validated. <o:p></o:p></p><p>Case that gets “muddy” is Enterprise RA client, and for whatever reason wants to use the mailbox control policy. We should still do step 1, domain control step. If they want to do the mailbox control on top of that, great, but the domain validation still needs to happen, number 1 still stands. <o:p></o:p></p><p>Ben: Just needs reorganization. <o:p></o:p></p><p>Mads: Still struggle with the concept of Enterprise RA. If it's a customer, can they verify the request from their own organization if the mailbox policy is used and the domain has been validated? <o:p></o:p></p><p>Yes, Enterprise RA would be allowed to use the mailbox validated profiles if they chose. <o:p></o:p></p><p>Ben Wilson: Maybe number 2 is required if number 1 hasn't been done. <o:p></o:p></p><p>Go back and verify that. <o:p></o:p></p><p>Bruce: Might be a good idea if we mae a matrix. What can each actor do, and what are the use-cases. CA needs to verify the organization. The CA has to verify the domain after the @ sign. The Enterprise RA can verify before @ sign and the identity of the user. <o:p></o:p></p><p>Ben has submitted a request (not for this specific section) similar to what you're describing: CA does what's to the righ of the @, the Enterprise RA what's left to the @. <o:p></o:p></p><p>Bruce: that might be too much. The CA can verify whatever the base domain is. There may be too many labels. CA for example does entrust.com, but Enterprise does subdomains like sales.entrust.com? (So not everything right to the @ sign is done by the CA). Similar to TLS. <o:p></o:p></p><p>Dimitris: For this practice, only use options for wildcard validation. This would allow the enterprise to validate the entire domain space, and focus on what is left on the @ sign. <o:p></o:p></p><p>Bruce: Sounds good. <o:p></o:p></p><p>Rework needed. Dificult and important to get right as it accounts for the majority of the certs out there. <o:p></o:p></p><p>3.2.4 Individual validation vetting - records maintained by the Enterprise RA are an authoritative source. <o:p></o:p></p><p>Internal Audit for Enterprise RA <o:p></o:p></p><p>8.8 refers to 8.4, which is almost entirely taken from the TLS BRs, except for the referenced ETSI standards. <o:p></o:p></p><p>Taken directly from the TLS BRs. Easy approach of solving the question of oversight. But is it suited considering the constraints that exist on the Enterprise RA. CA is doing the email vetting, the org vetting, the only variable component is the individual identity, and the reliance on internal records such as HR records. Not much additional guidance provided here. What's the type of internal audit we need ot perform on that? <o:p></o:p></p><p>Ben: Internal audit might be ambiguous. It means that the CA performs an audit on itself. While it seems like there is an intention that the CA audits these other parties or the requirements. Does the CA want to do that, or is there another way? Can these other parties maintain a record and provide a sample? Maybe some CAs are performing these audits on the parties? Do they have the experience in doing that? <o:p></o:p></p><p>The intention was to ensure that the CA confirms that the Enterprise RA has practices and procedures. And that they actually do have the records underlying. Is it enough that the CA does a process review at start-up and ongoing? But instead used the language of the other standard, which accomplishes the same thing, but by looking at the certificates themselves. Introduces additional significant obligation on the CA, and is more certificate based? Is there feedback? This is difficult to level set at a level that is useful. <o:p></o:p></p><p>Dimitris: Internal audit is already defined, for technicaly constrainted Sub CAs. CA needs to pick a sample, and ask for the evidences for that sample. Enterprise should be able to provide the records. Maybe 3% is very big. Auditors have a maximum number (Ben: usually 30-40), different methodologies. There usually is a cap with extenral auditors, maybe introduce that cap? <o:p></o:p></p><p>Tim Crawford - BDO: If there is a cap, it should be stated specifically. <o:p></o:p></p><p>Dimitris: one way to tackle the workload. <o:p></o:p></p><p>3% scales up rapidly. With these customers, if they have 1 bad cert, they are going to routinely have bad certs. 1 vs 3% on a quarterly basis. What is are reasonable min and max sample on a quarterly basis? <o:p></o:p></p><p>Dimitris: 3% makes sense, just cap it. <o:p></o:p></p><p>Bruce: what do we get from auditing the Enterprise RA? They are limited to the org vetting, and limited to the domain. We're down to a person's name before the @ Sign. What risk justifies the effort? <o:p></o:p></p><p>There is an internal audit requirement for the CA for their own issuance, this is just an equivalent. <o:p></o:p></p><p>Bruce: For the internal audit, we can audit the org and the domains. <o:p></o:p></p><p>For most ERAs, the only piece is the individual information that is included. Is it appropriate to force a process review at the beginning? Do we have it as an upfront, maybe with yearly check-up, or as a quarterly review. Given the limited scope, it's really one thing that's going to go wrong at scale, rather than vary from cert to cert. <o:p></o:p></p><p>Ben: We should have a different requirement for ERAs. Because also we don't say here (maybe we should), we're not trying to collect PII, nobody wants to deal with that, creates so many different issues, will get push-back from the External RAs. <o:p></o:p></p><p>Retain the paragraph for Delegated Third Parties, and technicaly constraint Sub CAs, but add a variant paragraph for Enterprise RAs. <o:p></o:p></p><p>Ben: Maybe not even for name constrained subordinate CAs. Aren't they almost like Enterprise RAs? CA has done the org and domain vetting, isn't it almost like an Enterprise RA? <o:p></o:p></p><p>Dimitris: Don't fully agree. Becaus CAs are responsible for the content of the cert. Imagine an Enterprise RA requests a cert for Ben Wilson. CAs are collecting PII anyway. Orgs have ways to deal with PII. If we leave it uncontrolled for the Enterprise RA, it just doesn't sound very good. <o:p></o:p></p><p>Bruce: They have to assign that Ben Wilson an email address. Even if it's not the person's real name, they do actually have that email address. <o:p></o:p></p><p>Dimitris: The cert will have given name Ben, surname Wilson regardless of the email address. That needs to be a real person. <o:p></o:p></p><p>Tim Callen - Sectigo: who says that it has to be a real person? There may be “stage name”. It's consistenyl used, but it's not their legal name. <o:p></o:p></p><p>Dimitris. There's a field for that, pseudonym. If you're using a givenname and a surname, then that must be correctly validated. <o:p></o:p></p><p>Or go with the mailbox validated certificate, which doesn't contain the name in the cert. <o:p></o:p></p><p>Ben: Maybe this section should have different requirements for different certificate types. <o:p></o:p></p><p>Difficulty is role-type certificates, which end up in the org validated bucket, as opposed to individual. As soon as it's an individual, it's supposed to be a real name. <o:p></o:p></p><p>Wendy Brown - FPKI: Disagree. If it's a sponsored email, it doesn't have to be a real name. It is sponsored, it's an email that's assigned by that organization. Can be to a bot, a person, they are responsible for that email. <o:p></o:p></p><p>If it includes givenname and surname, it needs to be real names. <o:p></o:p></p><p>Wendy: Real names for who, though? What if there's more than one person with the same name, and one person gets assigned a different name. <o:p></o:p></p><p>Disambiguiation based on serial number. <o:p></o:p></p><p>Wendy: imposing a particular type of email naming. Out of bounds for this. <o:p></o:p></p><p>Isn't the key element to differentiate the email address? To differentiate between John Doe 1 and John Doe 2. <o:p></o:p></p><p>Wendy: that might not be their legal name, that might just be the name that they go by in the Organization. We discussed if pseudonyms might be the right thing to use? <o:p></o:p></p><p>Different subject. We need to further discuss this. The intent now is that if it includes a name, it needs to be a verified name. <o:p></o:p></p><p>Mads: Identity attributes should belong to a real person. Email addresses is not so important. Avoid mixing those elements together. <o:p></o:p></p><p>When you create standards that bolt things down, once you have a standard for verified identities, the leaway for unverified identities is limited. <o:p></o:p></p><p>Dimitris: One clarification. For the Enterprise RA, can be either certs with just the email address, there's no need for any type of internal audit. But if they want to include the name in the attribute of the certs, then that needs to be validated. Wendy does this address concerns? <o:p></o:p></p><p>Wendy: Concern about what gets shown in email products interface. What is shown, is what in the subject, not the org information in front of the @ sign, but “helpdesk”. May or may not fit a person's name. <o:p></o:p></p><p>Dimitris: we can't take into consideration all the UIs, we are just responsible for what is in the cert. <o:p></o:p></p><p>Wendy: yes, and my point is, if you delegate that element to the enterprise, then you delegate it. We don't want to dictacte what is allowed to the enterprise. <o:p></o:p></p><p>But that has to be based on a set of rules. <o:p></o:p></p><p>Clint Wilson - Apple: Delegating performance of a function, not the control over the standard. <o:p></o:p></p><p>Bruce: common name vs givenname and surname. Maybe we're just worried about givenname and surname, but if you use common name, then don't worry about it? <o:p></o:p></p><p>Common name is pretty much free-form. Like to park that for now. <o:p></o:p></p><p>INDIVIDUAL IDENTITY <o:p></o:p></p><p>Several variations, spectrum of strictness. Personal view: CS BR Might be most suitable, but fairly limited two methods, F2F or digital signature, with cert issued under certain schemes. Widen that to give more options. Model followed is ETSI. To try and create consistency within identity proofing. Rules of the road for vetting legal persons, natural persons and natural persons in association with legal persons. Different modes that can be used, many more than currenly picked up. <o:p></o:p></p><p>Options: <o:p></o:p></p><p>- Physical identity document (passport) - Digital Identity document (reading the NFC chip remotely) - Certificate based applied by the Applicant - Enterprise RA records - Supplementary evidences for title, or other things, use authorised source - Verified professional letter (notarised, lawyer, accountant) <o:p></o:p></p><p>In future versions, would like to see this more filled out. One direction: remote identity vetting tools (e.g. automated selfie apps, video verification). Haven't addressed that in much detail, setting paramaters requires deepdiving. Another example: relying on eID programs (mainly Europe). All of it described, but technical standards on how to do it haven't been released (this summer), so can't be included yet. Clearly things that will become important to facilitate quality vetting in the future. Other methods? Things we want to cover in more detail? <o:p></o:p></p><p>Mads: approach is interesting. I am considerint this not a list of methods, more a list of evidences of attributes? <o:p></o:p></p><p>Draft text right now. One thing that needs to be nailed down: what information needs to be collected? Givenname and surnames (must be current names). Supplemental information is okay, as long as we can verify it. We're trying to build that in. How can we establish a current name, if the current name is not diplayed on the ID. Psuedonyms are optional - in some countries, pseudonyms are official. Address, if displayed it needs to be collected and verified. If further info is needed to uniquely identify the applicant. Additional information again as verified. <o:p></o:p></p><p>Ben: “further information” is ambiguous - is it meant for titles? Seems like a catch-all. Collect all the information to uniquely identify the Applicant. Issues with personal privacy? Data minimization principles. Introduce language to cover privacy principles. With the main principle being: only collect minimum necessary. <o:p></o:p></p><p>The way the section works is similar to how EV Guidelines are written. What are we going to do, then how we are going to do it. State what you allow as a CA for individual identity vetting. <o:p></o:p></p><p>Physical document - there must be a definition on what type of documents are accepted. There must be some parameters in the CPS about the accepted documents (or document types, which is a key word), but recognized that there may be different level of detail. <o:p></o:p></p><p>Documents must include biometrics. <o:p></o:p></p><p>Digital ID documents are very tightly defined. ICAO standard is really the only global standard. <o:p></o:p></p><p>Digital signatures must be purpose built for the application, using a valid personal certificate, following a limited list of standards. Text from CS BRs. An addition that may make the auditors cringe, in order to not issue certificates based on preceding certificates where the validation may have been performed in a distance past. <o:p></o:p></p><p>Tim Hollebeek - DigiCert: This won't change behaviour. <o:p></o:p></p><p>Normative vs informative. <o:p></o:p></p><p>Tim: don't disagree. <o:p></o:p></p><p>Standards all have “shoulds” because it is difficult to block. <o:p></o:p></p><p>Tim: we need actual rules. Note is fine. <o:p></o:p></p><p>Don Sheehy - CPA Canada: This statement needs rules. “Should consider requirements” - the whole thing could mean nothing. <o:p></o:p></p><p>Either that or just remove it, because other programs are audited. <o:p></o:p></p><p>Don: Might be easier. Not to influence direction. This is just an opinion on the auditability of that. <o:p></o:p></p><p>Difficult to enforce if the certificate was issued by another CA. <o:p></o:p></p><p>Tim: If you really don't want to remove it, just don't use SHOULD. Avoid requirement words entirely, since it is supposed to be informative. “It is important to ensure that”, has no normative words. <o:p></o:p></p><p>Intended to stop the CA to do perpetual issuance. <o:p></o:p></p><p>Tim Crawford: if we see “may” or “should”, we translate that to audit requirements, we don't bring those over, we only bring over the MUST and SHALL. We wouldn't bring this over. <o:p></o:p></p><p>Tim H: the capitalization should be fixed. If we want a SHOULD requirement, we just take out the “Note:”, then it's not an informative note. <o:p></o:p></p><p>Rich Smith - DigiCert: Suggestion: Tighten up the wording, if the CA is relying on previous vetting that it performed, such vetting must not be older than X. Maybe we say 3 years, just pick a number. Only for the CA itself. CAB Forum to set example for other standards. Maybe they'll tighten up their wording. <o:p></o:p></p><p>We'll find a way. <o:p></o:p></p><p>Bruce: Passport 10 years, driver's licence for 5 years. 3 years for certs sounds underwhelming. Why is that cert more important than official documents. <o:p></o:p></p><p>Rich S: Don't disagree, just threw it out there, arbitrary number :) <o:p></o:p></p><p>One of the things that we are not going to get to today. ETSI has the same issue. What is the revetting period for individual identity. They said 3 years. Was going to go with 3 years for consistency. <o:p></o:p></p><p>Iñigo Barreira - Sectigo: Problem to check to see how many revettings have been done. <o:p></o:p></p><p>Clint Wilson: The difference is - is it a primary source of the identity, or is it not? Certificate is not the source of identity, just a representation. That's the reason why there should maybe be a difference in treatment/validity. <o:p></o:p></p><p>Maybe different ranges. <o:p></o:p></p><p>Clint: not sure how complex we want to make it, but it makes sense that a passport can be valid for 10 years, but a certificate can only be re-used for a few years. It's not the source. <o:p></o:p></p><p>This will get complicated. <o:p></o:p></p><p>Forging ahead :) <o:p></o:p></p><p>Supplementary evidences: Trusted registers, similar to what we have in EV for authorised sources. For individual identity, we may have things like Title. E.G CEO, CPA, … Some new category of sources. Authorise sources for individual vetting, but after disclosure. Significant change in approach - beginning the same thing as we do for EVs. How do we scope this for our use? Currently in here to spark discussion. <o:p></o:p></p><p>We could scope this for regulated supplementary information. <o:p></o:p></p><p>This one is one to think about. How to include a title if there's no way to validate titles. <o:p></o:p></p><p>Tim C: not done at national level necessarily? <o:p></o:p></p><p>Ben: Use relevant government level instead? <o:p></o:p></p><p>How do we scope it to the fields? Probably want to expand to include other use-cases, of non-current name. <o:p></o:p></p><p>Verified professional letter needs to be cleaned up. <o:p></o:p></p><p>Tim C: Suspect that there are titles that people want, that don't have evidences? “Reverend” for example. <o:p></o:p></p><p>Don't know. Good question. What field does it go in? <o:p></o:p></p><p>Renne Rodriguez - Apple: Info in certificate should be verifiable, if not verifiable, then maybe don't get it. <o:p></o:p></p><p>Will have to look further, solution designed for regulated professions. This might require some more definition. <o:p></o:p></p><p>All identity attributes included in the certificate must be validated. If the evidence has an explicit validity period, the CA must verify that the evidence is still valid at the time of the validation. So no expired identity document. The evidence must remain valid for subsequent validation. <o:p></o:p></p><p>Physical documents must be in original form, no photo copies. Ensure that the document is genuine. Basically: train your people. Remote verification is allowed, in real time. Compare likeness. Authoritve sources on ID shall be used. Sufficient information must be retained - doesn't mean you need pictures of it all, but certain facts must be recorded, like type, validity period, document number. <o:p></o:p></p><p>Wiggle room - some approaches might be hybrid, and automation may be deployed. Important to acknowledge, but what automation means, might be further refined in the future. <o:p></o:p></p><p>Validation of digital ID. If you're relying on an NFC chip in a passport, you have to validate it. NFC chips you can read, or read and validate. The additional validation step would be required. NFC chip includes biometric. This currently says that it's not enough to scan the passport, you have to check the information from that scan and compare it to a visual or other information. The intent is that the document that you're relying on is in control of the right person. Rudementary security requirement. <o:p></o:p></p><p>Digital signature, it has to be created as part of the vetting or onboarding process, can't just be a random document that is digitally signed. Signature has to be validated. <o:p></o:p></p><p>If the evidences are not enough, and the certificate request contains information that can't be validated with these sources, these sources can be supplemented. Think “title”. <o:p></o:p></p><p>Verified professional level has to be looped in. <o:p></o:p></p><p>No non-verified subscriber information allowed. <o:p></o:p></p><p>This casts out to Enterprise RA.. This is where we will run out of time, but the focus in the next call will be this. These are the requirements for CAs, it's quite bolted down. For Enterprise RA, we refer to their records, but we don't define what a record is, or the quality of the information. HR file, or active director? Do we want to define this more? And the way it has to be recorded. A bit of a slippery slope, especially with huge multinational. They might use third parties for the identity vetting for onboarding. Once you start recording the requriements, this can balloon. Please feed back experience. <o:p></o:p></p><p>Ben W: Document this in github? <o:p></o:p></p><p>Yes, absolutely. Define, but be reasonable. <o:p></o:p></p><p>Document is out in github. Actively improving the text, will come back and get a chance to raise questions and review. <o:p></o:p></p><p>ROADMAP TO BALLOT <o:p></o:p></p><p>End is in sight! Gap analysis of where we are in the existing draft, just so we have an idea where we are, and start addressing open questions. There are some with regard to the org vetting, how much of the EV cup we drink, Org ID. Just agree which questions we will tackle in version 1 and later versions. <o:p></o:p></p><p>Period to action on the complete text so that you can review with a broader people within your organization. Agree on how we collect comments - list, github comments? <o:p></o:p></p><p>Prefer to channel them in one place., so that we can have and make sure that people's questions and concerns are taken into account and resolved in a uniform way. <o:p></o:p></p><p>Ballot: reminder of the rules. Overall, when you have an endorsed final draft ballot, which has to include the whole text, there has to be a final 7 day discussion period, 7 day vote period, and because new standard, a 60 day IPR review period. Pretty soon we'll have to hammer out the different dates associated with this. <o:p></o:p></p><p>Elections end of October, aim to get this as far as we can before we get to that stage. <o:p></o:p></p><p>Choose effective date for the standards (audit criteria) and cert consumers for enforcement date (outside scope). Would we make the standard effective on a date and try and encourage to adopt it immediately even if the browsers aren't enforcing it. For a period of the year in the future to allow for audit. <o:p></o:p></p><p>Tim H: A certificate consumer could put in their policies any date they want for adoption and enforcement of this standard. However, there is precedent for adoption dates being in the standard itself. The baseline requirements for example, had an effective date. It's completely appropriate for us to discuss., especially because coordinating it across all certificate issuers would be a benefit. And so, if we can agree on a consensus effective date in this group, that would be good. <o:p></o:p></p><p>I think many of those standards has been so long ago now that I can't remember how the transition was handled. Bigger variety than with TLS. We're going to want to have an effective date of the standard with optional adoption. Invite clarity from the certificate consumers as to when they see, expect adoption versus audited adoption. <o:p></o:p></p><p>Tim: Little unclear. So if you pick an adoption date of say, June 1st, CAs will be required to pick it up in their next audit. So if they are audited September 30th, then they have a period from June 1st to September 305h for that audit, while the rest of their audits are for the full period. The concern is that CAs may not have a long enough audit period, and that puts them in a bind. <o:p></o:p></p><p>Don: With EVGs there was a point in time audit that everyone had to commit to, with regular audits to follow. But this type of audit is best done with regular year end, and you need a period of audit evidence to report on, we will have to get audit criteria and reporting developed as well. <o:p></o:p></p><p>Clint is willing to accomodate the legacy profile, if there was an end date to it. Do we want this inbed in version 1? Or will this be dealt with by the certificate consumers, or we modify in a future version. If the fade away of legacy is desired, how do we deal with it? Personal perference: in next version. Goal is to get legacies audited, then we can come back and see their close-out. <o:p></o:p></p><p>Clint: That's a great possibility. Love to hear from CAs what the preference is. Handle it in root program policy, or directly in first version, or add in later when first version is adpoted? What's the preference - trade-off? <o:p></o:p></p><p>Have we ever dealt with this? <o:p></o:p></p><p>Bruce: Yes, with BRs, there was a date, but not a mandatory date, it was enforced by the root program policy. <o:p></o:p></p><p>Ensure that there is coordination with the certificate consumer with regards to dates. <o:p></o:p></p><p>Tim: What happened with CS? That is the most recent one. <o:p></o:p></p><p>Br: Not sure. If we put a date in there, there's no consequence to that date. There's no failure. The failure is when you violate a root policy. <o:p></o:p></p><p>Clint: Root program requirement to comply with these requirements, as a stake in the ground? We want to build in enough time for audit criteria, policy itself to be finalized. That's the criteria. <o:p></o:p></p><p>BR: we have BRs, we have a set of audit criteria that say that this will be applicable to audit periods that start at some date and that's another item in the future. And then from your point of view, you're expecting to see an audit report. It will take a little while to get there. You don't know how far CAs have to convert. Some might be small, some might be a lot. <o:p></o:p></p><p>7 day discussion period, unreasonable considering the scale. Once we have a complete draft, how long does the discussion period have to take? Tim H: This is a minimum. <o:p></o:p></p><p>Pre-ballot discussion. How long would this be? A month? Once we have complete draft, would it be helpful to have draft explaning sessions, to set context and workings? <o:p></o:p></p><p>Tim H: Not common in this Forum. How this is done with other standards is 30 days circulation, and gather comments, and see where we are? <o:p></o:p></p><p>The tool could be commenting in github? Tim H: Yes, other methods are inferior. <o:p></o:p></p><p>Training to be able to do that? Tim H: Yes, concern about github and restricting participation. Less of a concern with comments. It's easier. If we send an email with a link and explanation of how to do it? <o:p></o:p></p><p>Allows the comments to be seen in context. But maybe explainer day for github. <o:p></o:p></p><p>When we get to stage, channel everything in github, it's all in one place, worried when some comments are in different places, and when later on, trying to explain why a decision was made, can make it difficult to piece together the information. <o:p></o:p></p><p>The draft is available today, and if you're able to review it, and notice things that are dramatically wrong, raise the alarm now, before we go into that review. Just want ot get a feel how long would be apporpriate for the review. Feedback on this would be helpful. 2 months maybe? Would want to create a checklist with dates, at this point we need to have targets in order to keep this moving. <o:p></o:p></p><p>Regular working group next week, let's stick to it, intent to return to the individual identity topic. Send a direct link to the list today, to where that list is. Take a look at it, and gather questions and comments. In the areas that are still wide open, this is the biggest one. Org Identity and Org Identifier are smaller. The standard is now on a flypath for completion. <o:p></o:p></p><h3 id="code_signing_working_group">Code Signing Working Group<o:p></o:p></h3><p><strong><span style='font-family:"Calibri",sans-serif'>Speaker</span></strong>: Bruce Morton <br><strong><span style='font-family:"Calibri",sans-serif'>Minute Taker</span></strong>: Corey Bonnell <o:p></o:p></p><p>Member attendees: Andrea Holland (SecureTrust), Bruce Morton (Entrust), Chris Kemmerer (SSL.com), Corey Bonnell (Digicert), Dean Coclin (Digicert), Dimitris Zacharopoulos (HARICA), Doug Beattie (GlobalSign), Eva Vansteenberge (GlobalSign), Inaba Atsushi (GlobalSign), Joanna Fox (TrustCor Systems), Jos Purvis (Cisco Systems), Karina Sirota (Microsoft), Leo Grove (SSL.com), Li-Chun Chen (Chunghwa Telecom), Martijn Katerbarg (Sectigo), Nick France (Sectigo), Rich Smith (Digicert), Stephen Davidson (Digicert), Tim Callan (Sectigo), Tim Crawford (CPA Canada/WebTrust), Tim Hollebeek (Digicert), Tsung-Min Kuo (Chunghwa Telecom), Yamian Quintero (Microsoft) <o:p></o:p></p><p>Non-member attendees: Branca Martin (Amazon), Georgy Sebastian (Amazon), Mike Agenius Kushner (Interested Party), Tadahiko Ito (SECOM), Yoshiro Yoneya (JPRS) <o:p></o:p></p><p>Dean read the antitrust statement. <o:p></o:p></p><p>Minutes for the January 27th and February 10th minutes were approved. <o:p></o:p></p><p>Bruce presented the Goals presentation (attached). <o:p></o:p></p><p>Signing Service Discussion <o:p></o:p></p><p>Bruce suggested we should identify high-level goals before making any changes to the CSBR document. He also suggested that if the Signing Service is not performing a RA function, then it should not be considered to be a DTP. Ian agreed. <o:p></o:p></p><p>Ian mentioned that another primary goal of defining Signing Service requirements is to define parameters around access control. <o:p></o:p></p><p>Ian suggested that another goal is to define requirements around timestamping. Bruce said that he views providing timestamping services as CA responsibility but not the Signing Service. Ian agreed that it is more secure for CAs to host TSA as opposed to third parties. <o:p></o:p></p><p>Bruce said that the primary goal of a Signing Service is to mitigate against key compromise. Dean suggested that it also opens the possibility for using ephemeral keys (one certificate/key per signing operation). Ian agreed. <o:p></o:p></p><p>Dimitris added that for “providing code signing signature”, we discussed two models. Either the hash is sent, or the full document (binary) is sent. Also, for timestamping, Dimitris noted that the TSA must be audited in all cases. Nick added that Microsoft clarified privately that TSAs must be audited. Tim mentioned that we now require CABF policy OIDs in timestamp certs for code signing, so Relying Party software knows whether a given TSA certificate is being audited for use in the code signing ecosystem. <o:p></o:p></p><p>On the bullet point “Not a Subscriber”, Ian agreed that the Signing Service is not the identity; the Signing Service is not the software publisher. Bruce raised Dimitris's previous point about whether the Signing Service receives just the hash or the full binary from the Subscriber for signing and said that the Signing Service should not have to take on the responsibility for scanning for malware. Ian agreed. Dimitris added that the CSBRs currently require notification to the CA if Suspect Code is found. He also added that it would be an improvement if we define requirements around scanning for Suspect Code. Tim said that it may be challenging to define explicit requirements in this area to achieve the security goals. <o:p></o:p></p><p>Ian brought up the current requirement for Signing Services to being running antivirus software. He said that it would be an improvement for the requirements to state that the Signing Service must be hardened. <o:p></o:p></p><p>Ian said that service availability should not be covered under the requirements. Dean added that is a product feature and thus out of scope for this working group. <o:p></o:p></p><p>Bruce said that currently there are requirements for Signing Services but none for Cloud Services. However, it is difficult to differentiate between the two services. Bruce added that to clarify, the Signing Service could be operated by the CA. Tim suggested that if the different types of services have different security properties, then the certificates and signatures can contain a flag to denote the type of service that is managing the keys. Bruce said that keys managed directly by the subscriber may have drastically different levels of protection depending on the controls in place by the Subscriber. Ian added that he's been brainstorming adding a flag to denote the type of key protection and will consider further. <o:p></o:p></p><p>Bruce asked Ian why he considers such a flag to be valuable. Ian said that although he doesn't see software consuming such a flag in the near term, requiring such a flag sets the groundwork for using it in the future. Such a flag can also be used to see what type of service is being abused the most to sign Suspect Code. <o:p></o:p></p><p>Bruce said we should revisit the high-level goals to ensure that we're not making the requirements for Signing Services to be very high compared to the other types of key protection. Tim and Ian agreed. <o:p></o:p></p><p>Bruce suggested that after the RFC 3647 migration is complete, the group can go through the document and markup the areas that define requirements for Signing Services. The next step may be to remove all these requirements and start from scratch since the current requirements are currently haphazard. <o:p></o:p></p><p>Tim added that we should look into existing implementations to gauge existing practices and see what needs to be amended. Ian said that he'll look into providing details about how their internal signing service is implemented. <o:p></o:p></p><p>Tim said that RFC 3647 reformat may help with comparing the requirements for each key protection type. Doug suggested that the Signing Service requirements could be a different specification since the requirements are so different. It was agreed that we should use a modular approach to the requirements to allow for different entities to perform different aspects of the services covered under the document. Dimitris added that ETSI standards for key management may be useful to compare against and potentially use for these requirement. Tim mentioned that some amendments may need to be required to account for different countries (e.g. in US, states are sovereign). The goal may be to make the standards compatible but not necessarily identical. <o:p></o:p></p><p>Next meeting is March 10. <o:p></o:p></p><p class=MsoNormal><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:12.0pt'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-family:"Arial",sans-serif;color:#0174C3'>Dean Coclin<o:p></o:p></span></b></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>