<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Dec 16, 2020 at 3:31 AM Dimitris Zacharopoulos (HARICA) <<a href="mailto:dzacharo@harica.gr">dzacharo@harica.gr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
On 15/12/2020 6:42 μ.μ., Ryan Sleevi via Servercert-wg wrote:<br>
> I realize this might sound like an argument for RA audits (which <br>
> WebTrust provides, while ETSI... doesn't)<br>
<br>
This was first discussed in Cupertino.<br>
- <br>
<a href="https://cabforum.org/2019/05/03/minutes-for-ca-browser-forum-f2f-meeting-46-cupertino-12-14-march-2019/#WebTrust-for-RAs" rel="noreferrer" target="_blank">https://cabforum.org/2019/05/03/minutes-for-ca-browser-forum-f2f-meeting-46-cupertino-12-14-march-2019/#WebTrust-for-RAs</a><br>
<br>
ETSI supports RA audits which are practically scoped audits based on <br>
ETSI EN 319 401, 411-1, 411-2.<br>
<br>
The way ETSI documents are structured, tagging the requirements per <br>
function, it is possible to have such audits only for RAs. This is not <br>
the first time you encounter this, so I might be missing something in <br>
your statement that "ETSI... doesn't".<br></blockquote><div><br></div><div>We can certainly start a discussion on this topic, but I suspect that we'll be unlikely to reach agreement. The practices around what ETSI-using CABs refer to as RA audits are different in kind and quantity, and so while you're entirely correct to point out that ETSI-using CABs have a service that they might refer to as an RA audit, is different in kind, structure, consistency, and objective, and is not what I would capture as aligned with expectations or needs in this case. Just because a tape measure is called a hammer by a particular vendor does not actually make it a hammer, even though, if you don't mind hurting yourself, you can sometimes pretend it is.</div></div></div>