<div dir="ltr">Hi Eva,<div><br></div><div>I think the requirement is clear: the contact information must be obtained directly by the CA. If a validation specialist is using a browser to access WHOIS information that has already been gathered by the CA, then as long as that information was "obtained directly by the CA", the requirement has been satisfied. The requirement is on how the CA acquires the information, now on how individuals within the CA's staff act on that information.</div><div><br></div><div>Aaron</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 7, 2024 at 4:46 AM Eva Van Steenberge <<a href="mailto:eva.vansteenberge@globalsign.com">eva.vansteenberge@globalsign.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-292619407993593633"><div lang="EN-US"><div class="m_-292619407993593633WordSection1"><p class="MsoNormal">Hello Aaron (and all!)<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thank you very much for this – excellent work! We only have a question with regards to line 665:<br><br>> All contact information for Domain Contacts MUST come from the WHOIS record, a DNS SOA record, or direct contact with the Domain Name Registrar of the Base Domain Name, and MUST be obtained <b>directly</b> by the CA, <b>i.e. without the use of third-party services operated outside the CA's audit scope</b>.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span class="m_-292619407993593633ui-provider">Would this section benefit from a definition for third-party services to further remove any risk of ambiguity? <u></u><u></u></span></p><p class="MsoNormal"><span class="m_-292619407993593633ui-provider"><u></u> <u></u></span></p><p class="MsoNormal"><span class="m_-292619407993593633ui-provider">I feel like we intuitively all have an understanding what is meant, but could (to give an extreme example) this text be interpreted as both allowing and prohibiting the use of a browser to facilitate representing WHOIS information that is otherwise gathered from appropriate sources, using an internal service completely developed and controlled by the CA?<u></u><u></u></span></p><p class="MsoNormal"><span class="m_-292619407993593633ui-provider"><u></u> <u></u></span></p><p class="MsoNormal">Kind regards,<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Eva<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><b>From:</b> Servercert-wg <<a href="mailto:servercert-wg-bounces@cabforum.org" target="_blank">servercert-wg-bounces@cabforum.org</a>> <b>On Behalf Of </b>Aaron Gable via Servercert-wg<br><b>Sent:</b> 02 February 2024 22:20<br><b>To:</b> CA/B Forum Server Certificate WG Public Discussion List <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br><b>Subject:</b> [Servercert-wg] [DIscussion Period Begins] SC-070: Clarify the use of DTPs for domain control validation<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">This ballot aims to clarify the existing language around the use of delegated third-parties during domain and IP address control validation. It leaves the existing language in place, and adds specifics for the cases of DNS queries, WHOIS lookups, and contact with the Domain Name Registrat or IP Address Registration Authority.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Additionally, it places these same restrictions on CAA checking, with an effective date of 2024-05-15.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">This ballot is proposed by Aaron Gable (ISRG / Let's Encrypt) and endorsed by Mads Henriksveen (Buypass) and Dimitris Zacharopoulos (HARICA). You can view and comment on the github pull request representing this ballot here: <a href="https://github.com/cabforum/servercert/pull/475" target="_blank">https://github.com/cabforum/servercert/pull/475</a><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">--- Motion Begins ---<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">This ballot modifies the "Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates" ("Baseline Requirements") based on Version 2.0.2<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">MODIFY the Baseline Requirements as specified in the following redline: <a href="https://github.com/cabforum/servercert/compare/41f01640748fa612386f8b1a3031cd1bff3d4f35...00ea6e24c474fd0ab6eecc25cb8eb733fffc60c3" target="_blank">https://github.com/cabforum/servercert/compare/41f01640748fa612386f8b1a3031cd1bff3d4f35...00ea6e24c474fd0ab6eecc25cb8eb733fffc60c3</a><u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">--- Motion Ends ---<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Discussion (at least 7 days):<u></u><u></u></p></div><div><p class="MsoNormal">- Start: 2024-02-02 22:30 UTC<u></u><u></u></p></div><div><p class="MsoNormal">- End no earlier than 2024-02-09 22:30 UTC<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Vote for approval (7 days):<u></u><u></u></p></div><div><p class="MsoNormal">- Start: TBD<u></u><u></u></p></div><div><p class="MsoNormal">- End: TBD<u></u><u></u></p></div></div></div></div></div></blockquote></div>