<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 17, 2020 at 9:36 AM Pedro FUENTES <<a href="mailto:pfuentes@wisekey.com">pfuentes@wisekey.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;">Hello,<div>I’d have a comment on the proposed wording, but I don’t find the right way to post it on GitHub.</div></div></blockquote><div><br></div><div>You can use <a href="https://github.com/cabforum/documents/pull/194">https://github.com/cabforum/documents/pull/194</a> to do this (in the Files tab, you can click + next to any line to leave an in-line comment, as well as suggest changes)</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;"><div>Would it be acceptable to allow a certain margin to disclose the agency “after x days of issuance”, instead of forcing it to be always “prior”? </div></div></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;"><div><br></div><div>My rational is trying to cover the situation where it comes a request from a country/region unusual for the CA and it has to use a new agency that wasn’t listed yet. This would allow that the CA can issue the certificate after choosing the right agency, and it should still commit to disclose the sources, but this wouldn’t block the issuance. A reasonable time could be 3 days, for example.</div></div></blockquote><div><br></div><div>This was discussed in the Validation WG, but unfortunately, this fails to meet the goal of ensuring transparency and auditability. The intent is, just like any other validation process, the validation needs to be completed before you actually issue. </div><div><br></div><div>The process is designed to be so incredibly lightweight that post-facto disclosure should not be necessary, and no different than validating new documents. If you anticipate significant challenges disclosing, above and beyond the validation process, it would be useful to explain why.</div><div><br></div><div>The danger of such an allowance is, unsurprisingly, that such disclosures fail to happen. It also makes it indistinguishable from misissuance. Finally, it doesn't help the overall goal, which is having concrete data about these scenarios, that can be neutrally, objectively, and independently assessed, which of course is critical to finding a viable long-term solution to ensure cross-CA consistency.</div><div><br></div><div>So yes, this was discussed, but it also was rejected. It's difficult to see how such post-facto disclosure would be able to meet these goals. Please let me know if there was something overlooked, however!</div></div></div>