<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Feb 2, 2021 at 4:59 PM Jos Purvis (jopurvis) via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US" style="overflow-wrap: break-word;">
<div class="gmail-m_-5548115111167736846WordSection1">
<p class="MsoNormal"><span style="font-family:Georgia,serif">Should add: Ben’s email below formally opens the discussion period for this ballot as of 2021-02-02 21:00 UTC, which will conclude 2021-02-09 21:00 UTC if no further updates are required.
</span><span style="font-family:"Apple Color Emoji"">😊</span><span style="font-family:Georgia,serif"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:Georgia,serif"><u></u> <u></u></span></p>
<div>
<p class="MsoNormal"><span style="font-size:9pt;font-family:Consolas;color:black"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:9pt;font-family:Consolas;color:black">-- <br>
Jos Purvis (</span><a href="mailto:jopurvis@cisco.com" target="_blank"><span style="font-size:9pt;font-family:Consolas;color:rgb(149,79,114)">jopurvis@cisco.com</span></a><span style="font-size:9pt;font-family:Consolas;color:black">)<br>
.:|:.:|:. cisco systems | Cryptographic Services<br>
PGP: 0xFD802FEE07D19105 | Controls and Trust Verification</span><u></u><u></u></p>
</div>
<p class="MsoNormal"><span style="font-family:Georgia,serif"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-family:Georgia,serif"><u></u> <u></u></span></p>
<div style="border-right:none;border-bottom:none;border-left:none;border-top:1pt solid rgb(181,196,223);padding:3pt 0in 0in">
<p class="MsoNormal"><b><span style="font-size:12pt;color:black">From: </span></b><span style="font-size:12pt;color:black">Servercert-wg <<a href="mailto:servercert-wg-bounces@cabforum.org" target="_blank">servercert-wg-bounces@cabforum.org</a>> on behalf of CABF Server Cert WG <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br>
<b>Reply-To: </b>Ben Wilson <<a href="mailto:bwilson@mozilla.com" target="_blank">bwilson@mozilla.com</a>>, CABF Server Cert WG <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br>
<b>Date: </b>Tuesday, February 2, 2021 at 3:26 PM<br>
<b>To: </b>CABF Server Cert WG <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br>
<b>Subject: </b>[Servercert-wg] Ballot SC40: Security Requirements for Air-Gapped CA Systems<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p style="margin:0in" id="gmail-m_-5548115111167736846gmail-docs-internal-guid-c4b55509-7fff-ac26-6cb4-32861d24fa46">
<span style="font-size:10pt;font-family:"Courier New";color:black">Ballot SC40: Security Requirements for Air-Gapped CA Systems</span><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Purpose of the Ballot:</span><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">This ballot increases the security of Air-Gapped/Offline CA systems (“Air-Gapped CA Systems”) by clarifying the controls that CAs must implement to protect them.</span><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Air-Gapped CA systems (usually Root CA private keys) are maintained in highly secure locations, and while they can share certain exterior physical controls with online
 systems, they are not connected to online systems or the Internet. Thus, they have different operational requirements and controls due to their separate risk profile. While the scope of the current Network and Certificate System Security Requirements (NCSSRs)
 includes Air-Gapped CA systems, the current NCSSRs focuses on online systems and contains a number of requirements that are not practical to implement in an offline environment and could actually increase the risk to such offline systems. </span><u></u><u></u></p>
<p style="margin-right:0in;margin-bottom:0in;margin-left:0in">
<span style="font-size:10pt;font-family:"Courier New";color:black">As an example, access to offline/air-gapped CA systems frequently elevates the risk to the environment. A quarterly vulnerability scan in the offline environment is not practical, because
 there is an increased risk involved with attaching a scanning device to such Air-Gapped CA system. Just as another example among several, because such systems are not connected, the provisions of subsection 1.g (ports and protocols) are not applicable.</span><u></u><u></u></p>
<p style="margin-right:0in;margin-bottom:0in;margin-left:0in">
<span style="font-size:10pt;font-family:"Courier New";color:black">This ballot develops a working definition for an “Air-Gapped CA System” to allow for a clear delineation between those system components that fall under this category of Air-Gapped/Offline
 requirements and those under other requirements. In doing so, the ballot creates two sets of requirements tailored to their respective operating environments and characteristics.</span><u></u><u></u></p>
<p style="margin-right:0in;margin-bottom:0in;margin-left:0in">
<span style="font-size:10pt;font-family:"Courier New";color:black">Not only does this ballot introduce a new section 5, it also adds additional physical security requirements for air-gapped CAs by requiring video monitoring, intrusion detection, and other
 intrusion prevention controls to protect Air-Gapped CA Systems against unauthorized physical access attempts. The new section 5 presents logical security requirements in subsections a through m and physical security requirements in subsections p through w. </span><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">These proposed subsections in the proposed new section 5 are based on sections 1 through 3 of the existing NCSSRs as follows:</span><u></u><u></u></p>
<p class="MsoNormal" style="margin-bottom:12pt"><u></u> <u></u></p>
<table border="0" cellspacing="0" cellpadding="0" style="border-collapse:collapse">
<tbody>
<tr>
<td valign="top" style="border:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><b><span style="font-size:10pt;font-family:"Courier New";color:black">Description</span></b><u></u><u></u></p>
</td>
<td valign="top" style="border-top:1pt solid black;border-right:1pt solid black;border-bottom:1pt solid black;border-left:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><b><span style="font-size:10pt;font-family:"Courier New";color:black">Offline </span></b><u></u><u></u></p>
<p style="margin:0in"><b><span style="font-size:10pt;font-family:"Courier New";color:black">Criteria #</span></b><u></u><u></u></p>
</td>
<td valign="top" style="border-top:1pt solid black;border-right:1pt solid black;border-bottom:1pt solid black;border-left:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><b><span style="font-size:10pt;font-family:"Courier New";color:black">General </span></b><u></u><u></u></p>
<p style="margin:0in"><b><span style="font-size:10pt;font-family:"Courier New";color:black">Criteria #</span></b><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><b><span style="font-size:10pt;font-family:"Courier New";color:black">Logical Security of Air-Gapped CA Systems</span></b><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Configuration review</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5a</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">1h</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Appointing individuals to trusted roles</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5b</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2a</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Grant access to Air-Gapped CAs</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5c</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">1i</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Document responsibilities of Trusted roles</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5d</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2b</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Segregation of duties </span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5e</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2d</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Require least privileged access for Trusted Roles</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5f</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2e</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">All access tracked to individual account</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5g</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2f</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Password requirements</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5h</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2gi</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Review logical access</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5i</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2j</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Implement multi-factor access</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5j</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2m</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Monitor Air-Gapped CA systems</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5k</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">3b</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Review logging integrity </span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5l</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">3e</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Monitor archive and retention of logs</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5m</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">3f</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><b><span style="font-size:10pt;font-family:"Courier New";color:black">Physical Security of Air-Gapped CA Systems</span></b><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Grant physical access</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5p</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">1i</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Multi-person physical access </span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5q</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">1j</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Review physical access</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5r</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2j</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Video monitoring</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5s</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">3a</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Physical access monitoring</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5t</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">3a</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Review accounts with physical access</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5u</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">2j</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Monitor retention of physical access of records</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5v</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">3f</span><u></u><u></u></p>
</td>
</tr>
<tr>
<td valign="top" style="border-right:1pt solid black;border-bottom:1pt solid black;border-left:1pt solid black;border-top:none;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">Review integrity of physical access logs</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">5w</span><u></u><u></u></p>
</td>
<td valign="top" style="border-top:none;border-left:none;border-bottom:1pt solid black;border-right:1pt solid black;padding:5pt;overflow:hidden">
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">3e</span><u></u><u></u></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal"><u></u> <u></u></p>
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">This motion is made by Ben Wilson of Mozilla and endorsed by David Kluge of Google Trust Services and Neil Dunbar of TrustCor.</span><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">--- Motion Begins ---</span><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p style="margin:0in"><span style="font-size:10pt;font-family:"Courier New";color:black">That the CA/Browser Forum Server Certificate Working Group adopt the following requirements as amendments to the Network and Certificate System Security Requirements.</span><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p style="margin:0in"><span style="font-size:12pt;font-family:"Times New Roman",serif;color:black">1. Replace the current language in section 1.c. with "Maintain Root CA Systems in a High Security Zone and as Air-Gapped CA Systems, in accordance with Section
 5;"</span><u></u><u></u></p>
<p style="margin-right:0in;margin-bottom:0in;margin-left:0in">
<span style="font-size:12pt;font-family:"Times New Roman",serif;color:black">2. Add a definition of "Air-Gapped CA System" as "A system that is kept offline or otherwise air-gapped and separated from other systems and that is used by a CA or Delegated Third
 Party in storing and managing CA private keys and performing signing operations."</span><u></u><u></u></p>
<p style="margin-right:0in;margin-bottom:0in;margin-left:0in">
<span style="font-size:12pt;font-family:"Times New Roman",serif;color:black">3. Revise the definition of Security Support System to read:</span><u></u><u></u></p>
<p style="margin-right:0in;margin-bottom:0in;margin-left:0in">
<span style="font-size:12pt;font-family:"Times New Roman",serif;color:black">"A system used to provide physical and logical security support functions, which MAY include authentication, network boundary control, audit logging, audit log reduction and analysis,
 vulnerability scanning, and intrusion detection (physical intrusion detection, Host-based intrusion detection, Network-based intrusion detection)."</span><u></u><u></u></p>
<p style="margin-right:0in;margin-bottom:0in;margin-left:0in">
<span style="font-size:12pt;font-family:"Times New Roman",serif;color:black">4. Add a new Section 5 to read as follows:</span></p></div></div></div></blockquote><div><br></div><div>Ben,</div><div><br></div><div>One thing that struck me while working on the conversion of the NCSSRs to Markdown was the numbering and structure do make it more difficult, compared to our other documents.</div><div><br></div><div>Would you be receptive to the following changes:</div><div><br></div><div>1) Divide "Logical Security of Air-Gapped CA Systems" and "Physical Security of Air-Gapped CA Systems" into sub-sections (specifically, 5.1 and 5.2)</div><div>2) Use "1, 2, 3" instead of "a, b, c" (Yes, this will result in an inconsistency with the previous sections of the NCSSRs, but will align with the BRs and EVGs)</div><div>3) Remove "n" and "o" from the (new) 5.1; we don't need those placeholders, as they can be addressed in a subsequent ballot.</div><div><br></div><div>I suspect that #3 was a result of not having #1 in place, and so you needed to reserve space, but as currently structured, introducing any additional requirements for logical security beyond the two imagined would require renumbering the entire thing, and that seems silly. That's why I think #1 makes sense and makes #3 easier (as you can and should restart the numbering in 5.2).</div></div></div>