<div dir="auto">Thanks, Wendy.<div dir="auto">Do others want to chime in on these points?<div dir="auto">Ben</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 1, 2023, 10:45 AM Wendy Brown - QT3LB-C <<a href="mailto:wendy.brown@gsa.gov">wendy.brown@gsa.gov</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Superseded for these 2 reasons doesn't seem appropriate unless you also add that a new certificate was issued or at least requested, as a replacement.<blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div>6. The Certificate no longer complies with the requirements of [Section 6.1.5](#615-key-sizes) and [Section 6.1.6](#616-public-key-parameters-generation-and-quality-checking) (CRLReason #4, superseded);</div><div>and</div><div>12. The CA is made aware that the Certificate was not issued in accordance with these Requirements or the CA's Certificate Policy or Certification Practice Statement (CRLReason #4, superseded);</div></blockquote><div><br></div><div>The definition isn't clear that a new cert has been issued (or even requested) based on the highlighted text - was it supposed to say that the CA issued a replacement certificate because it has reasonable evidence ....? Or should it just have ended with a . before the ", or the CA has ..."</div><div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div>  * **superseded (RFC 5280 CRLReason #4):** Indicates that the Certificate Subscriber has requested a new Certificate to replace an existing Certificate,<span style="background-color:rgb(255,255,0)"> or the CA has reasonable evidence that the validation of domain authorization or control for any fully‐qualified domain name or IP address in the Certificate should not be relied upon or the CA has revoked the Certificate for compliance reasons such as the Certificate does not comply with these Baseline Requirements or the CA's CP or CPS;</span><br clear="all"></div><div><span style="background-color:rgb(255,255,0)"><br></span></div></blockquote>Thanks,<br><div><div dir="ltr" data-smartmail="gmail_signature"><div dir="ltr"><p class="MsoNormal"><span style="font-family:"Segoe Script",sans-serif">Wendy</span></p><p class="MsoNormal"><br></p><p class="MsoNormal">Wendy Brown</p>

<p class="MsoNormal">Supporting GSA</p><p class="MsoNormal">FPKIMA Technical Liaison</p>

<p class="MsoNormal">Protiviti Government
Services</p>

<span style="font-size:11.0pt;font-family:"Calibri",sans-serif">703-965-2990 (cell)</span><br></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 1, 2023 at 12:22 PM Aaron Gable via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank" rel="noreferrer">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Wonderful, thank you! I have no further comments.<div><br></div><div>Aaron</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jan 31, 2023 at 4:08 PM Ben Wilson <<a href="mailto:bwilson@mozilla.com" target="_blank" rel="noreferrer">bwilson@mozilla.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Thanks, Aaron - the numbering change was unintentional, so I fixed that, and I made other changes as requested.  See <br></div><div><a href="https://github.com/BenWilson-Mozilla/servercert/commit/f1ed2357c6c9fe9bcedaec040582f872e0f519de" target="_blank" rel="noreferrer">https://github.com/BenWilson-Mozilla/servercert/commit/f1ed2357c6c9fe9bcedaec040582f872e0f519de </a></div><div>Before I re-announce the discussion period, does anyone else have other changes that they would like to see?</div><div>Thanks, <br></div><div>Ben<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 30, 2023 at 9:58 AM Aaron Gable <<a href="mailto:aaron@letsencrypt.org" target="_blank" rel="noreferrer">aaron@letsencrypt.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">The current redline appears to undo the recent renumbering of section 4.9.1.1, causing it to have two different instances of paragraphs 1 through 5. These were renumbered in Ballot SC-56 Cleanup[1]. Can we please preserve the new numbering?<div><br></div><div>Additional notes:</div><div>- In 4.1.1.1 (1), perhaps "without specifying a CRLReason", rather than "without giving a reason"? A Subscriber might state "Please revoke this because I accidentally deleted the keys", in which case they are giving a reason, but the best revocation reason is still 0 (Unspecified). One might believe that Superseded is applicable in this case, but that revocation request does not necessarily indicate that the Subscriber has also replaced the certificate.</div><div>- A very minor comment, but there's inconsistent phrasing between the five revocation reasons in Section 7.2.2: the first begins "Indicates that..." while the others begin "It is intended to be used...". Can we give all five of these entries the same structure/phrasing?</div><div><div><br></div><div>Aaron</div><div><br></div><div>[1] <a href="https://github.com/cabforum/servercert/pull/401/files#diff-e0ac1bd190515a4f2ec09139d395ef6a8c7e9e5b612957c1f5a2dea80c6a6cfeR1214-R1224" target="_blank" rel="noreferrer">https://github.com/cabforum/servercert/pull/401/files#diff-e0ac1bd190515a4f2ec09139d395ef6a8c7e9e5b612957c1f5a2dea80c6a6cfeR1214-R1224</a></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jan 19, 2023 at 1:55 PM Ben Wilson via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank" rel="noreferrer">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">
<div>All,</div><div><br></div><div>This is version 3 of Ballot SC-061. I've moved some of the language down into section 7.2.2, and I've added back in two paragraphs that have been in the original Mozilla Root Store Policy regarding changing the reason code and revocation date for key compromise.  I also changed the compliance date to July 15, 2023. (The compliance date for CAs in Mozilla's program was Oct. 1, 2022.)<br></div><div><b><br></b></div><div><b>Purpose of Ballot SC-061 v.3<span></span></b><br></div><div><br></div><div>The purpose of this ballot is to modify sections 4.9.1.1 and 7.2.2 of
the Baseline Requirements to incorporate the CRL reason codes that Mozilla has adopted
in section 6.1.1 of the Mozilla Root Store Policy. <span></span></div><div class="gmail_quote"><div dir="ltr">  <b><br></b></div><div dir="ltr"><b>Motion<span></span></b>



<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif"><br></p><p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif">The following motion has been proposed by Ben Wilson of
Mozilla and endorsed by David Kluge of Google Trust Services and Kiran Tummala of
Microsoft.<span></span></p>



<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif"><b>—–Motion Begins—–<span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif">This ballot modifies sections 4.9.1.1 and 7.2.2 of the “Baseline
Requirements for the Issuance and Management of Publicly-Trusted Certificates”
as defined in the following redline, based on Version 1.8.6:<br></p><p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif"><a href="https://github.com/cabforum/servercert/compare/2c63814fa7f9f7c477c74a6bfbeb57e0fcc5dd5b..b1a3d9b491c9744a50a0e194678d76c639d6076b" target="_blank" rel="noreferrer">https://github.com/cabforum/servercert/compare/2c63814fa7f9f7c477c74a6bfbeb57e0fcc5dd5b..b1a3d9b491c9744a50a0e194678d76c639d6076b</a></p><p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif"> <br></p></div><div> <b>—–Motion Ends—–<span></span></b></div><div dir="ltr"> </div><div dir="ltr">This ballot proposes a Final Maintenance Guideline. The
procedure for approval of this ballot is as follows:<span></span>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif">Discussion (7+ days)<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif">Start Time:<span>  </span>January 19,
2023 22:00 UTC<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif">End Time: January 26, 2023 22:00 UTC<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif"><span> </span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif">Vote for approval (7 days)<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif">Start Time:<span>  </span>January 26,
2023 TBD<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:Calibri,sans-serif">End Time: February 2, 2023 TBD</p></div></div></div>
_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank" rel="noreferrer">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>
</blockquote></div>
</blockquote></div>
_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank" rel="noreferrer">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>
</blockquote></div>