<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><span style="font-size: 16px;" class="">In line</span><font size="3" class="">…</font><div class=""><font size="3" class=""><br class=""></font></div><div class=""><font size="3" class="">[lots of snipping throughout]</font></div><div class=""><font size="3" class=""><br class=""></font></div><div class=""><font size="3" class="">Irrespective of any responses that my email might attract, I won’t reply because I don’t want to take oxygen out of the conversation. I’m just an interested party. I typically get private messages, which are always welcome and appreciated.</font></div><div class=""><font size="3" class=""><br class=""></font></div><div class=""><font size="3" class="">I have dyslexia so I apologize for spelling mistakes. And I have a moderate ADHD, so I apologize for not focusing on my spelling mistakes. </font></div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><div class=""><div style="font-size: 16px;"><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="gmail_quote"><div class="">CAs are like factories that produce physical goods. They contract with a customer (the Browser), to produce a good according to the customer's specifications. The customer wants to supervise production, because it's their reputation and their customers that are harmed if, say, the factory uses lead-based paint or produces shoddy products. The customer wants to make sure that all of the raw materials they supply to that factory are used to producing their goods, and aren't siphoned off to produce knock-offs or to produce other customers' goods.</div></div></div></div></blockquote><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">[PW] This is not correct. And I’d like to explain why because I think it gets to the heart of the problem we see in regards to our communications and the lack of appreciation for opposing opinions. It’s all about mindset and how we perceive intent.</div><div style="font-size: 16px;"><ul class=""><li class="">Without consumers, there’s no work for anyone here - we could all go home, oh wait… :)</li><li class="">Website owners want their consumers to be safe, so they buy a product (DV) and/or a service (EV) from CAs. Some will buy them because they don’t want to be shamed with “Not Secure”, but I digress.</li><li class="">Browsers do one thing - they facilitate access to the web for consumers. They are a “broker” between consumers, website owners and search engines. The only customers that browsers have, are search engines that pay for product placement. This might explain the close relationship between Google and Mozilla. </li><li class="">CAs *gift* their certificate info to browsers, so they can keep consumers safe. Lucky for Browsers, they don’t have to pay CAs for this important service. Either CAs charge site owners and give Browser vendors a free service, or they offer website owners a free service and charge Browser vendors. Nothing in this world is free, unless you have an ad business model.</li></ul><div class="">DV is all about consumer privacy. Right? CAs are the ones making DV possible. Interestingly, browsers don't agree when it comes to actual privacy that really impacts internet safety - they all compete with their privacy/tracking related settings as the only differentiator. I love it because it benefits consumers. But the irony is shocking.</div><div class=""><br class=""></div></div><div style="font-size: 16px;">Browsers are extremely important to CAs for obvious reasons. And browsers have the right, obviously, to mandate requirements of CAs. </div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;"><div class="">I’m talking about a mindset of respect and appreciation for each others part in this movie. Some will agree and some will disagree. The fact is, I’m neither right nor wrong. Each of us can either have this mindset or not. Imagine if we conversed with each other with this mindset though. It couldn’t do any harm.</div><div class=""><br class=""></div></div><div style="font-size: 16px;">Everyone has selfish motivates, so the trick is to help each other succeed with their selfish motives so everyone benefits. </div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">“You're the supplier and I’m the customer” are words that respectful customers never use in my experience.</div><div style="font-size: 16px;"><br class=""></div><blockquote type="cite" class=""><div dir="ltr" class=""><div class="gmail_quote"><div class="">Put differently: If certificates were only valid for 7 days, then the full and prompt replacement of every one of those intermediates posing security risk would be completed, on time, and without any issues. Every day longer that a certificate is valid for only serves to increase the impact of that revocation, thus incentivizing the CA to fail to meet their contractual obligations, and thus worsening or exacerbating the security impact to browsers and end users. This should be trivial to scratch out on paper and see how it works out.</div></div></div></blockquote><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">[PW] We can install speed bumps every 5 feet on a busy street to reduce the risk of speeding cars knocking down pedestrians. But the goal is to find a balance between cost vs reward. The same is true for cybersecurity. Until the cost vs reward is measured, you can’t possibly know if you’re making the right decisions or not.</div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">I have a whacky suggestion...</div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">Why don’t all the mainstream browser vendors start a private group where they can discuss and agree on a list of things that all CAs must do and not do, as well as a list of things that are important but not mandated. Then, furnish all CAs with finalized requirements in a single cohesive way. This private group could invite “industry experts” that include some CA reps if they are interested in their input. You could call it the “Browser Forum”.</div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">Alternatively, each browser vendor could do this internally and then articulate their requirements to CAs so there’s no ambiguity. Some browser vendors do this already. Telling people that the requirements are straightforward doesn’t make them straightforward. And if many people say they are not, it means they are not. </div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">Separately, everyone can come together in a forum (for arguments sake, let’s call it the CA/Browser Forum) where Browser vendors are invited to discuss industry best practices while also facilitating help and support for what is mandated via their group initiative. This would mean that the CA/Browser forum would never be a place for anything that is mandated. There would be zero power play. </div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">The single biggest hurdle to collaboration that I see here is the power that one party holds over the other - whether intentional or not - it’s here. </div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">Just a thought ;)</div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;">- Paul</div><div style="font-size: 16px;"><br class=""></div><div style="font-size: 16px;"><br class=""></div></div><br class=""></div></div></body></html>