<div dir="ltr"><div>Dimitris, Aaron, Wayne, and Others,</div><div>We are working on improving the language of the ballot.  <br></div><div>Here are a couple of versions for you to review and provide feedback on.<br></div><div><a href="https://github.com/cabforum/servercert/commit/d0d962e04bd81a71ebf71a7c45a015cbc75ac979">https://github.com/cabforum/servercert/commit/d0d962e04bd81a71ebf71a7c45a015cbc75ac979 </a><br></div><div><a href="https://github.com/cabforum/servercert/commit/682488a832db5b6b4fcdd4cd7cbd86ae9541453e">https://github.com/cabforum/servercert/commit/682488a832db5b6b4fcdd4cd7cbd86ae9541453e</a></div><div>Thanks,</div><div>Ben<br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Apr 21, 2024 at 8:29 PM Dustin Hollenback via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg6561039490978768618">





<div lang="EN-US" style="overflow-wrap: break-word;">
<div class="m_6561039490978768618WordSection1">
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri",sans-serif">Thank you all for the great feedback! We’ll take this offline and re-work it based on the input.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<div>
<div style="border-width:1pt medium medium;border-style:solid none none;border-color:rgb(225,225,225) currentcolor currentcolor;padding:3pt 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11pt;font-family:"Calibri",sans-serif"> Servercert-wg <<a href="mailto:servercert-wg-bounces@cabforum.org" target="_blank">servercert-wg-bounces@cabforum.org</a>>
<b>On Behalf Of </b>Dimitris Zacharopoulos (HARICA) via Servercert-wg<br>
<b>Sent:</b> Sunday, April 21, 2024 1:24 AM<br>
<b>To:</b> Aaron Gable <<a href="mailto:aaron@letsencrypt.org" target="_blank">aaron@letsencrypt.org</a>>; CA/B Forum Server Certificate WG Public Discussion List <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>><br>
<b>Subject:</b> [EXTERNAL] Re: [Servercert-wg] Discussion Period Begins - Ballot SC-071: Subscriber Agreement and Terms of Use Consolidation<u></u><u></u></span></p>
</div>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal" style="margin-bottom:12pt"><u></u> <u></u></p>
<div>
<p class="MsoNormal">On 19/4/2024 9:54 μ.μ., Aaron Gable wrote:<u></u><u></u></p>
</div>
<blockquote style="margin-top:5pt;margin-bottom:5pt">
<div>
<div>
<p class="MsoNormal">On Fri, Apr 19, 2024 at 11:07<span style="font-family:"Arial",sans-serif"> </span>AM Dimitris Zacharopoulos (HARICA) via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>> wrote:<u></u><u></u></p>
</div>
<div>
<blockquote style="border-width:medium medium medium 1pt;border-style:none none none solid;border-color:currentcolor currentcolor currentcolor rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">
<div>
<p class="MsoNormal">What happens if the SA/ToS document changes? I had the impression that the ACME client would be able to see the new version and ask that the updated version is accepted. How does this process work in practice?<u></u><u></u></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">The ACME protocol itself only has one mechanism for updating the Terms of Service: respond to all requests with HTTP 403 Forbidden, error type "urn:ietf:params:acme:error:userActionRequired", and a link to a URL where a human can take action
 to agree to the new terms. Breaking every single ACME client until their operator takes manual action on a webpage is unacceptable and unrealistic, so ACME server operators do not actually do this.<u></u><u></u></p>
</div>
</div>
</div>
</blockquote>
<p class="MsoNormal"><br>
The ACME protocol was designed to support popular use cases promoting automation. The level of automation can be decided by the Applicant. For example, if an Applicant chooses the dns-01 challenge and wants to manually update their DNS server to include the
 challenge, so be it. That doesn't mean that this breaks every single ACME client. It's supposed to be a feature, not a bug :-)<br>
<br>
My point is that if an Applicant wants to automate the response to a new Terms of Service, they can program the ACME client to connect to the return URL with the new document, accept it and continue with the request.<br>
<br>
<br>
<u></u><u></u></p>
<blockquote style="margin-top:5pt;margin-bottom:5pt">
<div>
<div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">However, this is preceded by one caveat: RFC 8555 Section 7.3.3 says "If the server has changed its terms of service since a client initially accepted,
<i>and the server is unwilling to process a request without explicit agreement to the new terms</i>, ...".<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">So there's an easy path forward: include language in the Subscriber Agreement to the effect of "this agreement may be updated", and always be willing to process requests without explicit agreement to the new terms. At a glance, Let's Encrypt,
 Google Trust Services, GoDaddy, and HARICA all take this approach in their Subscriber Agreement documents.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">So I think there are two potential issues with the proposed language:<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">1) "The Certificate Warranties specifically include [that]... the Subscriber has been provided with the most current version of the Subscriber Agreement" -- I think this language is
<i>probably</i> fine, as long as "posted to the CA's policy document repository" counts as "provided". But I'd prefer not to have to split hairs, and so would prefer language which more clearly makes it obvious that the updated document does not have to proactively
 be given to each Subscriber individually and that simply posting it to the public repository is sufficient.<u></u><u></u></p>
</div>
</div>
</div>
</blockquote>
<p class="MsoNormal"><br>
In some cases, CAs point to a URL that contains the latest version of the Subscriber Agreement, so in one sense the Applicant agrees to that -latest- version without the need to see a different URL. The only concern here is what happens to implementations where
 the Applicant accepts the Subscriber Agreement at account creation and not at Certificate Issuance/Retrieval. In that scenario, the CA would not be able to claim that the Applicant has accepted the updated version, right?<br>
<br>
<br>
<u></u><u></u></p>
<blockquote style="margin-top:5pt;margin-bottom:5pt">
<div>
<div>
<div>
<p class="MsoNormal">2) "The Certificate Warranties specifically include [that]... the applicable Subscriber Agreement is the Subscriber Agreement that was accepted when the Certificate was issued" -- Again, this language is probably technically fine, in that
 the Subscriber Agreement can include language saying that Subscribers are assumed to have accepted future updates to the document. But I'd still prefer not to split hairs, and so I think that Wayne's suggestion of "...that was
<i>in force</i> when the Certificate was issued" is a good one.<u></u><u></u></p>
</div>
</div>
</div>
</blockquote>
<p class="MsoNormal"><br>
I also prefer this language but would that address the concern mentioned above?<br>
<br>
<br>
<u></u><u></u></p>
<blockquote style="margin-top:5pt;margin-bottom:5pt">
<div>
<div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Unrelated to the discussion above, our Counsel has suggested one other simplification of the language in the ballot: "if the CA and Subscriber are not Affiliated, the Subscriber and CA are parties to a legally valid and enforceable Subscriber
 Agreement that satisfies these Requirements, or, if the CA and Subscriber are the same entity or are Affiliated, the Applicant Representative has accepted the Subscriber Agreement;" seems unnecessarily wordy. Instead, they suggest just "the Subscriber and
 CA (even if they are the same entity or are Affiliated) are parties to a legally valid and enforceable Subscriber Agreement that satisfies these Requirements;".<u></u><u></u></p>
</div>
</div>
</div>
</blockquote>
<p class="MsoNormal"><br>
Great improvement indeed!<br>
<br>
Thanks,<br>
Dimitris.<u></u><u></u></p>
</div>
</div>

_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</div></blockquote></div>