<div dir="ltr"><div><span style="font-family:arial,sans-serif"><font size="4">Here are my initial thoughts:</font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><br></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4">In BR Section 4.2.1, add a sentence - 









<u><span style="line-height:107%">This
does not apply to the validation of domain authorization or control performed
under Section 3.2.2.4 or the authentication of an IP address performed under Section
3.2.2.5.</span></u></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><u><span style="line-height:107%"><br></span></u></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%">In BR Section 3.2.2.4 add, </span><span style="line-height:107%">"<span style="line-height:107%"><u>For
Certificates issued on or after July 1, 2021, the CA SHALL verify that each FQDN
is current and correct at intervals of 398 days or less</u>."</span></span></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><u><span style="line-height:107%"><u><span style="line-height:107%"><br></span></u></span></u></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%"><span style="line-height:107%">In BR Section 3.2.2.5 add, <span></span>









"<u><span style="line-height:107%">For
Certificates issued on or after July 1, 2021, the CA SHALL verify that each IP address
is current and correct at intervals of 398 days or less.</span></u><span style="line-height:107%"> </span>



</span></span></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%"><span style="line-height:107%"><br></span></span></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%"><span style="line-height:107%">Replace in both sections, "</span></span><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%">In
all cases, the validation must have been initiated within the time period
specified in the relevant requirement (such as Section 4.2.1 of this document)
prior to Certificate issuance."  with "<span style="line-height:107%"><u>In
all cases, the validation must have been completed within the 398 days preceding certificate issuance.</u>"</span></span></span></span></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%"><br></span></span></span></span></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%">Amend BR section 3.2.2.4.6 to remove any exception that would still allow CA to "continue to re-use information and validations for domains validated under this method per the applicable certificate data reuse periods."  (The Method 6 was deprecated June 3, 2020.) <br></span></span></span></span></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%"><br></span></span></span></span></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%">Amend BR section 3.2.2.5.1 and possibly make the Random Value valid for only 30 days or 60 days because what is meant by "if the Applicant submitted the certificate request"?  Otherwise, just editing out some of the existing language it would read something like,</span></span></span></span><span style="line-height:107%"> "If a Random
Value is used, the CA SHALL provide a Random Value unique to the certificate
request and SHALL not use the Random Value after the longer of (i) 30 days or
(ii) if the Applicant submitted the certificate request, 398 days," but someone should explain how that makes any sense.</span></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4"><br></font></span></div><div><span style="font-family:arial,sans-serif"><font size="4">Tie up any other loose ends.  For instance, do we leave the EV guidelines alone at thirteen months for Domain Names? See EVG section 11.14.3(1)(F).</font></span><br></div><div><span style="font-size:11.5pt;line-height:107%"><u><span></span></u></span>





<span style="font-size:11.5pt;line-height:107%;font-family:"Calibri",sans-serif"><span style="font-size:11.5pt;line-height:107%;font-family:"Calibri",sans-serif"><span style="font-size:11.5pt;line-height:107%;font-family:"Calibri",sans-serif">



</span></span></span></div><div><u><span style="font-size:11.5pt;line-height:107%;font-family:"Calibri",sans-serif"><u><span style="font-size:11.5pt;line-height:107%;font-family:"Calibri",sans-serif">



</span></u></span></u></div><div><u><span style="font-size:11.5pt;line-height:107%;font-family:"Calibri",sans-serif"><span style="font-size:11.5pt;line-height:107%;font-family:"Calibri",sans-serif"> </span>



</span></u>



</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Feb 8, 2021 at 11:29 AM Chema Lopez <<a href="mailto:clopez@firmaprofesional.com" target="_blank">clopez@firmaprofesional.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Ben, Firmaprofesional will also endorse shortening the re-use period for Domain Name and IP Address Validation to 398 days, if needed.<br clear="all"><div><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><font face="Tahoma, sans-serif"><br></font></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><font face="Tahoma, sans-serif"><br></font></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><font face="Tahoma, sans-serif"><b>Chema López</b></font></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><span style="font-family:Tahoma,sans-serif">Director Área Innovación, Cumplimiento y Tecnología</span><br></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><span style="font-family:Tahoma,sans-serif">+34 666 429 224</span><br></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><u style="font-family:Tahoma,sans-serif">                                                  </u><br></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><br></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><img src="https://www.firmaprofesional.com/wp-content/uploads/2019/07/Firmaprofesional_Digital_Color_Pequeno.png"><br></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><br></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><span style="color:rgb(102,102,102);font-family:Tahoma,sans-serif"><b>Barcelona  </b></span><span style="color:rgb(102,102,102);font-family:Tahoma,sans-serif">Av. Torre Blanca 57, </span><span style="color:rgb(102,102,102);font-family:Tahoma,sans-serif">Edif. Esadecreapolis, Local 3B6 - </span><span style="color:rgb(102,102,102);font-family:Tahoma,sans-serif">08173 Sant Cugat del Vallès | </span><span style="color:rgb(102,102,102);font-family:Tahoma,sans-serif">+34 934 774 245</span></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><font face="Tahoma, sans-serif" color="#666666"><b>Madrid  </b>C/ Velázquez 59, 1º Ctro-Izda. - 28001 Madrid | +34 915 762 181</font></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><br></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><span style="font-family:Tahoma,sans-serif"><a href="http://www.firmaprofesional.com/" style="color:rgb(17,85,204)" target="_blank"><font color="#ff0000">www.firmaprofesional.com</font></a><b><font color="#ff0000"></font></b></span></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><b><span style="font-family:Tahoma,sans-serif;color:red"><br></span></b></p><p class="MsoNormal" style="margin-bottom:0.0001pt;line-height:normal"><i><span style="color:rgb(153,153,153);font-family:tahoma,sans-serif;font-size:x-small">El contenido de este correo electrónico y de sus anexos es confidencial. Si usted recibe este mensaje por error, debe saber que está prohibido hacer uso, divulgación y/o copia del mismo. En tal caso le agradeceríamos que advierta de inmediato a su remitente y que proceda a destruir el mensaje.</span><br></i></p><p class="MsoNormal" style="margin:0cm 0cm 0.0001pt;line-height:normal"><font size="1" face="tahoma, sans-serif" color="#999999"><i> </i></font></p><p class="MsoNormal" style="margin:0cm 0cm 0.0001pt;line-height:normal"><i><font size="1"><font face="tahoma, sans-serif" color="#999999">Le informamos que, cumpliendo la normativa en materia de protección de datos, FIRMAPROFESIONAL tratará sus datos con la finalidad de garantizar las relaciones con la empresa, entidad u organización a la que usted representa o en la que trabaja y por el período que dure dicha relación. </font><span style="color:rgb(153,153,153);font-family:tahoma,sans-serif">Podrá ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento ante el Responsable: FIRMAPROFESIONAL, S.A., Av. Torre Blanca, 57, local 3B6 (Edificio Esadecreapolis), 08173 Sant Cugat del Vallès (Barcelona), o bien mediante correo electrónico a: </span><a href="mailto:rgpd@firmaprofesional.com" style="color:rgb(17,85,204);font-family:tahoma,sans-serif" target="_blank">rgpd@firmaprofesional.com</a><span style="color:rgb(153,153,153);font-family:tahoma,sans-serif">, en cualquier caso adjuntando una copia de su D.N.I. o documento equivalente. Asimismo, podrá formular reclamaciones ante la Agencia Española de Protección de Datos. </span></font><span style="color:rgb(153,153,153);font-family:tahoma,sans-serif;font-size:x-small">Para más información puede consultar nuestra </span><a href="https://www.firmaprofesional.com/esp/aviso-legal" style="color:rgb(17,85,204);font-family:tahoma,sans-serif;font-size:x-small" target="_blank">política de privacidad</a><span style="color:rgb(153,153,153);font-family:tahoma,sans-serif;font-size:x-small">.</span></i></p></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 8 Feb 2021 at 19:07, Dimitris Zacharopoulos (HARICA) via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div>
    <br>
    Ben,<br>
    <br>
    HARICA will endorse shortening the re-use period for Domain Name and
    IP Address Validation to 398 days.<br>
    <br>
    Dimitris.<br>
    <br>
    <div>On 8/2/2021 7:54 μ.μ., Ben Wilson via
      Servercert-wg wrote:<br>
    </div>
    <blockquote type="cite">
      
      <div dir="ltr">It's doable - but I'd like to see if anyone wants
        to endorse a ballot here to make the necessary modifications to
        section 4.2.1, or whether I assume not and just focus on the
        Mozilla Root Store Policy Issue # 206. <br>
      </div>
      <br>
      <div class="gmail_quote">
        <div dir="ltr" class="gmail_attr">On Sat, Feb 6, 2021 at 9:59 AM
          Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>> wrote:<br>
        </div>
        <blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
          <div dir="ltr">I'm curious if you could explain why it doesn't
            seem realistic. Given the data provided, it seems eminently
            and readily achievable. 
            <div><br>
            </div>
            <div>Since this only applies to reuse of domain/IP address
              validation, it seems like we can look at a shorter period,
              since as noted in the past, this data is subject to
              regular change, and thus needs regular re-validation. As
              work such as BygoneSSL shows, simply relying on "domain
              registrations are a year" is not sufficient justification,
              since domain control regularly changes (e.g. migration of
              Cloud providers)</div>
          </div>
          <br>
          <div class="gmail_quote">
            <div dir="ltr" class="gmail_attr">On Fri, Feb 5, 2021 at
              7:07 PM Ben Wilson via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>>
              wrote:<br>
            </div>
            <blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
              <div dir="ltr">
                <div>I am still interested in passing a CABF SC ballot
                  to resolve this issue. I originally proposed an
                  implementation date of July 1, 2021, which does not
                  seem realistic now. One CA has indicated that they
                  would endorse such a ballot if they had a year to work
                  it through with their customers.<br>
                </div>
                <div>Thoughts?</div>
                <div>Thanks,</div>
                <div>Ben<br>
                </div>
              </div>
              <br>
              <div class="gmail_quote">
                <div dir="ltr" class="gmail_attr">On Wed, Dec 2, 2020 at
                  2:55 PM Ben Wilson <<a href="mailto:bwilson@mozilla.com" target="_blank">bwilson@mozilla.com</a>>
                  wrote:<br>
                </div>
                <blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
                  <div dir="ltr">
                    <div>I am loath to create this thread and to have
                      two simultaneous discussions on the same topic in
                      two different fora, but I want to see if the
                      CA/Browser Forum is willing to incorporate
                      substantially the same 398-day policy, as
                      discussed below, in its Baseline Requirements and
                      EV Guidelines. <br>
                    </div>
                    <div><br>
                    </div>
                    <div>On the Mozilla Dev Security Policy (mdsp) list
                      (<a href="https://groups.google.com/g/mozilla.dev.security.policy/c/7TeSlHFIk5U/m/2ojwLrslBQAJ" target="_blank">https://groups.google.com/g/mozilla.dev.security.policy/c/7TeSlHFIk5U/m/2ojwLrslBQAJ</a>)
                      and in the Mozilla policy issues list on GitHub (<a href="https://github.com/mozilla/pkipolicy/issues/206" target="_blank">https://github.com/mozilla/pkipolicy/issues/206</a>),
                      Mozilla is considering amending subsection 5 of <a href="https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/#21-ca-operations" target="_blank">section
                        2.1 of the Mozilla Root Store Policy</a> to
                      reduce the reuse of the validation of DNS Names
                      and IP addresses to 398 days.</div>
                    <div><br>
                    </div>
                    <div>Currently, Mozilla is looking at making this
                      requirement effective as of July 1, 2021, with
                      some type of phase-in period, to-be-determined.<br>
                    </div>
                    <div><br>
                    </div>
                    <div>I intend to draft a ballot that would
                      accomplish that same goal within BR section 4.2.1,
                      and elsewhere as might be necessary in the
                      Baseline Requirements and EV Guidelines. <br>
                    </div>
                    <div><br>
                    </div>
                    <div>To prime the discussion here, one issue
                      discussed on the mdsp list is the phase-in, if
                      any, of this 398-day requirement. I have suggested
                      that sunsetting 825-day DNS/IP validations through
                      2023 is too long, given the validation methods now
                      available per BR 3.2.2.4 and 3.2.2.5.  Would it be
                      simpler just to prohibit, as of 7/1/2021, any
                      reuse of DNS/IP validations older than 398 days? <br>
                    </div>
                    <div><br>
                    </div>
                    <div><br>
                    </div>
                    <div><br>
                    </div>
                    <div><br>
                    </div>
                  </div>
                </blockquote>
              </div>
              _______________________________________________<br>
              Servercert-wg mailing list<br>
              <a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
              <a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
            </blockquote>
          </div>
        </blockquote>
      </div>
      <br>
      <fieldset></fieldset>
      <pre>_______________________________________________
Servercert-wg mailing list
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a>
</pre>
    </blockquote>
    <br>
  </div>

_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>
</blockquote></div>