<div dir="ltr"><div dir="ltr">On Tue, Apr 16, 2024 at 8:12 AM Wayne Thayer via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I have three questions about the implications of changes proposed by this ballot:</div><div><br></div><div>1. Section 9.6.1 adds language that imposes or makes the following requirements explicit:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">i. the Subscriber has been provided with the most current version of the Subscriber Agreement;<br>ii. the applicable Subscriber Agreement is the Subscriber Agreement that was accepted when the Certificate was issued; and</blockquote><div><br></div><div>I am aware that ACME RFC 8555 section 7.3.3 provides a mechanism for updating the Subscriber Agreement ("Terms of Service" in the RFC). The language above seems to imply that this mechanism must be used whenever a CA changes their Subscriber Agreement. Has this mechanism been deployed and used at scale?</div></div></blockquote><div><br></div><div>I concur that this appears to be a new requirement, not simply a unification of the current SA and ToS language. That's surprising, given the ballot description and purpose.</div><div><br></div><div>The mechanism described in RFC 8555 Section 7.3.3 for ACME servers to update the Subscriber Agreement is poorly designed, impractical, and is not fully implemented by any ACME CA that I am aware of. Specifically, the whole point of ACME is that it is automated -- operators should not need to intervene except when they make changes to their own systems. In fact, many ACME clients have no direct way to reach their operators (i.e. no email or other notification facilities), they just log to a file which the operator theoretically reads but in practice wholly ignores. So an ACME CA breaking every single ACME client until that client's operator takes manual action is a non-starter.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>SIde note here that "accepted when the Certificate was issued" could be misconstrued to conflict with the statement in 9.6.3 that "a single Subscriber Agreement MAY be used to cover multiple future certificate requests and the resulting Certificates". I'd suggest changing "accepted" to "in force".<br></div></div></blockquote><div><br></div><div>Agreed. Many Subscriber Agreements / Terms of Service (both across the CA industry and other unrelated industries with similar documents) contain language stating that they may be updated unilaterally, sometimes with notification to the other parties, sometimes without. Making it sound like every new version must be manually accepted seems like an unintended (and unrealistic) consequence of the current language in this ballot.</div><div> </div><div>Aaron</div></div></div>