<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        font-size:10.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;
        mso-ligatures:none;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style></head><body lang=en-SE link="#0563C1" vlink="#954F72" style='word-wrap:break-word'><div class=WordSection1><p class=MsoNormal><span lang=SV style='font-size:11.0pt;mso-fareast-language:EN-US'>Hi Tobias,<o:p></o:p></span></p><p class=MsoNormal><span lang=SV style='font-size:11.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'>The discussion we had was around the amount of log events and details required in accordance with the BRs. This in essence, it boiled down to the interpretation of the word "activities". Yes, routing a packet is a router activity. So, must it be logged? <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'>Depending on the interpretation that one may have, it may have to be logged, because it's a router activity, and router activities must be logged, right? <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'>In our eyes however, this is not a reasonable interpretation of the requirement. However without more precise language in place, this option remains available. <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'>As mentioned in the original email as well, what's the point in logging every OCSP GET and POST request, especially in a world where several Root Store operators want to reduce the use of OCSP due to privacy concerns (see SC63). Yet at the same time, we're required to keep logs for this at least 2 years.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'>OCSP here is just a single example, the same could be said for CRLs or AIA URLs. <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'>Regards,<br><br>Martijn<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div id=mail-editor-reference-message-container><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='margin-bottom:12.0pt'><b><span style='font-size:12.0pt;color:black'>From: </span></b><span style='font-size:12.0pt;color:black'>Tobias S. Josefowitz <tobij@opera.com><br><b>Date: </b>Thursday, 14 September 2023 at 16:57<br><b>To: </b>Martijn Katerbarg <martijn.katerbarg@sectigo.com>, CA/B Forum Server Certificate WG Public Discussion List <servercert-wg@cabforum.org><br><b>Subject: </b>Re: [Servercert-wg] Proposal to update logging requirements<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt'>CAUTION: This email originated from outside of the organization. Do not click links or open attachments unless you recognize the sender and know the content is safe.<br><br><br>Hi Martijn,<br><br>On Wed, 13 Sep 2023, Martijn Katerbarg via Servercert-wg wrote:<br><br>> During our last WebTrust audit cycle it became clear that our<br>> interpretation of "Firewall and router activities" and CPA Canada's<br>> interpretation were meaningfully different. In particular it came to<br>> light that in its most aggressive possible interpretation, the actual<br>> logging of a firewall activity would itself constitute a firewall<br>> activity, which would itself require logging, as would the log of the<br>> log entry of that log entry, the log of this newest log entry, and<br>> etcetera into infinity. In our opinion, too much "valid traffic"<br>> logging, makes it harder to find "bad traffic".<br><br>That does sound intriguing. Would it be possible for you to go into a<br>little more detail about what the actual point of contention was? I am<br>assuming it was not actually the infinite layers of log events, but either<br>way I would appreciate if you could share a bit more details.<br><br>Tobi<o:p></o:p></span></p></div></div></div></div></body></html>