<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jun 19, 2020 at 10:31 AM Tim Hollebeek via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_-1668814377043980290WordSection1"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">A quick question for you all, since the baseline requirements are unclear here.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">For those unfamiliar with addresses for US foreign military bases and diplomatic posts, they look something like this:<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Somepersonplaceorthing XXX<u></u><u></u></p><p class="MsoNormal">Miltary unit / box / whatever<u></u><u></u></p><p class="MsoNormal">APO AE 12345<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">See also: <a href="https://faq.usps.com/s/article/How-Do-I-Address-Military-Mail" target="_blank">https://faq.usps.com/s/article/How-Do-I-Address-Military-Mail</a><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">These locations intentionally do not use foreign city / state codes to avoid having their mail routed through foreign mail <u></u><u></u></p><p class="MsoNormal">systems, and in some cases because the location is US soil and/or not subject to foreign jurisdiction anyway.  These locations<u></u><u></u></p><p class="MsoNormal">even have US zipcodes assigned.  For example, 962xx is actually in Korea, and is associated with the two letter postal<u></u><u></u></p><p class="MsoNormal">code AP.  For example, the US embassy in Seoul has the following US mailing address:<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">US Embassy Seoul<u></u><u></u></p><p class="MsoNormal">Unit #9600<u></u><u></u></p><p class="MsoNormal">DPO AP 96209<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">The question is what is the best practice for converting such an address to C=, L=, ST= format.  Options include:<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><ol style="margin-top:0in" start="1" type="1"><li class="gmail-m_-1668814377043980290MsoListParagraph" style="margin-left:0in">C=US, L=APO AP, ST=(none)    [ST can be omitted if L is present]<u></u><u></u></li><li class="gmail-m_-1668814377043980290MsoListParagraph" style="margin-left:0in">C=US, L=APO, ST=AP                 [using official postal code as ST]<u></u><u></u></li><li class="gmail-m_-1668814377043980290MsoListParagraph" style="margin-left:0in">other?<u></u><u></u></li></ol><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I think it’s pretty clear that (1) complies with the BRs.  The question is whether (2) does.  The ST field is defined as<u></u><u></u></p><p class="MsoNormal">“state or province information”, but we know from previous discussions that it is not strictly limited to things named<u></u><u></u></p><p class="MsoNormal">“states” or “provinces”, as it can also include functionally similar political subdivisions like Swiss cantons.  The question<u></u><u></u></p><p class="MsoNormal">is whether having a US postal code and official two letter postal abbreviation means that AP, AE, and AA are legal<u></u><u></u></p><p class="MsoNormal">values of the ST field.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Of course, this question would be easy to answer if my suggestion to use ISO 3166-2 as the official list of valid ST fields<u></u><u></u></p><p class="MsoNormal">had been adopted, but unfortunately there didn’t seem to be much support for it.</p></div></div></blockquote><div><br></div><div>Specifically, the adoption of ISO 3166-2 would have prohibited ST=AP because AP is not a recognized division within ISO 3166-2 for US, correct?</div><div><br></div><div>And this is specifically in the context of whether the verification of address in 3.2.2.1 uses postal routing as the determinant for address of existence, right?</div><div><br></div><div>Here's a different way of thinking about this example: Would there be any concern if, for example, a Subscriber applied for an OV certificate, and the Subscriber provided a "utility bill, bank statement, credit card statement, government-issued tax document, or other form of identification that the CA determines to be reliable", with that information going to a mail forwarding service / virtual mailbox? </div><div><br></div><div>Obviously, this would be a massively different level of assurance than "A site visit by the CA or a third party who is acting as an agent for the CA;", but both scenarios are permitted by 3.2.2.1.</div><div><br></div><div>If a CA has issues with Subscribers using such "dead drops", then it would seem they should have similar trouble with respect to the above example. Alternatively, if there's no trouble with the above example, then there should be no trouble with the use of such routing services. </div></div></div>