<div dir="ltr"><div></div><div>The SMIME requirements document, which this WG is developing, should address the degree of verification needed to bind the email address to the key pair. The applicant and the CA should be required to use a secure process to establish that the entity controlling the email address also controls the public-private key pair. This is mentioned on the Mozilla GitHub policy issues board - <a href="https://github.com/mozilla/pkipolicy/issues/215">https://github.com/mozilla/pkipolicy/issues/215</a> 

</div></div>