<div dir="ltr">I would not like to see #3 exclusion for Root CAs removed<div> <br></div><div><div><p class="MsoNormal"><u></u></p></div><div><p class="MsoNormal">Some CA products when a new CA is established, automatically create some internal certificates that are necessary for the operation of the CA including possibly a key pair used to sign audit logs with a certificate signed by the Root CA that can be used to verify the integrity of the logs by verifying the signature. In addition to enabling cert-based authentication for trusted roles needing to access the CA, including for actions like manually instigating the issuance of a subordinate CA certificate or manually issuing a new CRL when there has not been a revocation.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal">This change would make it so those products could not be compliant with the BRs, even though such certificates would never be seen outside the supporting infrastructure.<u></u><u></u></p></div><div><p class="MsoNormal"> </p><p class="MsoNormal">If the rationale is there are no profiles for internal certificates, then I suggest a better fix would be to add the word public in the conflicting language in 7.1.2, as the internal certificates that have no BR profile should never be seen outside the CA's infrastructure. But removing the allowance would potentially trigger a non-compliance during an audit.:</p></div></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><p class="MsoNormal">“If the CA asserts compliance with these Baseline Requirements, all <b><i><span style="background:yellow">public </span></i></b>certificates that it issues MUST comply with one of the following certificate profiles, which incorporate, and are derived from RFC<u></u><u></u></p><p class="MsoNormal">5280.”</p></div></div></blockquote><div><div><p class="MsoNormal"><br></p><p class="MsoNormal">Thanks,</p></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><p class="MsoNormal"><span style="font-family:"Segoe Script",sans-serif">Wendy</span></p><p class="MsoNormal"><br></p><p class="MsoNormal">Wendy Brown</p>

<p class="MsoNormal">Supporting GSA</p><p class="MsoNormal">FPKIMA Technical Liaison</p>

<p class="MsoNormal">Protiviti Government
Services</p>

<span style="font-size:11.0pt;font-family:"Calibri",sans-serif">703-965-2990 (cell)</span><br></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jul 19, 2023 at 10:16 AM Corey Bonnell via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-2893400121332162085">





<div lang="EN-US" style="overflow-wrap: break-word;">
<div class="m_-2893400121332162085WordSection1">
<p class="MsoNormal">Hello,<u></u><u></u></p>
<p class="MsoNormal">While adding support for SC-62 linting for TLS certificates in pkilint, a few issues were identified with the current language in section 6 and 7 of the BRs. To address these issues, I created a draft ballot on Github. The draft ballot
 text can be viewed here: <a href="https://github.com/cabforum/servercert/compare/SC63..CBonnell:servercert:sc62-cleanup" target="_blank">
https://github.com/cabforum/servercert/compare/SC63..CBonnell:servercert:sc62-cleanup</a>.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Chris Clements of the Chrome team reviewed and offered to endorse, so we’re looking for one more endorser to push this ballot forward.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Please let me know if you have any feedback on the proposed language or if you’d be willing to endorse.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Thanks,<u></u><u></u></p>
<p class="MsoNormal">Corey<u></u><u></u></p>
</div>
</div>

_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</div></blockquote></div>