<div dir="ltr"><div>I have posted this on our Mozilla CA wiki page for additional guidance during this S/MIME BRs transition - <a href="https://wiki.mozilla.org/CA/Transition_SMIME_BRs#Audit_Migration_Plan">https://wiki.mozilla.org/CA/Transition_SMIME_BRs#Audit_Migration_Plan</a>.</div><div>Ben<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 20, 2023 at 6:21 PM Stephen Davidson via Smcwg-public <<a href="mailto:smcwg-public@cabforum.org">smcwg-public@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg1984274408620365918">

<div style="overflow-wrap: break-word;" lang="EN-US">

<div class="m_1984274408620365918WordSection1">

<p class="MsoNormal"><span style="font-size:12pt">FYI, for thoroughness:  MDSP announcement re S/MIME BR.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt">Regards, Stephen<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p>

<div style="border-color:rgb(225,225,225) currentcolor currentcolor;border-style:solid none none;border-width:1pt medium medium;padding:3pt 0in 0in">

<p class="MsoNormal"><b><span style="font-size:12pt">From:</span></b><span style="font-size:12pt"> <a href="mailto:dev-security-policy@mozilla.org" target="_blank">dev-security-policy@mozilla.org</a> <<a href="mailto:dev-security-policy@mozilla.org" target="_blank">dev-security-policy@mozilla.org</a>>

<b>On Behalf Of </b>Ben Wilson<br>

<b>Sent:</b> Friday, June 16, 2023 1:37 PM<br>

<b>To:</b> <a href="mailto:dev-secur...@mozilla.org" target="_blank">dev-secur...@mozilla.org</a> <<a href="mailto:dev-security-policy@mozilla.org" target="_blank">dev-security-policy@mozilla.org</a>><br>

<b>Subject:</b> MRSP 2.9: S/MIME BRs Transition Timeline<u></u><u></u></span></p>

</div>

<p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p>

<div>

<p style="margin-right:0in;margin-bottom:12pt;margin-left:0in">

<span style="font-size:12pt;color:black">Greetings,</span><span style="font-size:12pt"><u></u><u></u></span></p>

<p style="margin-right:0in;margin-bottom:12pt;margin-left:0in">

<span style="font-size:12pt;color:black">Our proposal for a migration plan towards having Certification Authorities (CAs) follow the CA/Browser Forum’s Baseline Requirements for S/MIME Certificates (S/MIME BRs) is as follows, keeping in mind that the Effective

 Date for version 1.0.0 of the S/MIME BRs is September 1, 2023, and assuming that ETSI and WebTrust audit criteria are in place for S/MIME BR audits by September 1, 2023.</span><span style="font-size:12pt"><u></u><u></u></span></p>

<p style="margin-right:0in;margin-bottom:12pt;margin-left:0in">

<span style="font-size:12pt;color:black">Any root CA certificate being considered for inclusion after September 1, 2023, must be audited according to the S/MIME BRs if the email trust bit is to be enabled, and the CA operator’s CP or CPS must state that they

 follow the current version of the S/MIME BRs. Note that the CA operator’s first S/MIME BR audit may be a Point-in-Time audit if the audit period will be less than 60 days, and the audit statement may list non-compliances to be resolved within the next annual

 audit period. </span><span style="font-size:12pt"><u></u><u></u></span></p>

<p style="margin-right:0in;margin-bottom:12pt;margin-left:0in">

<span style="font-size:12pt;color:black">CA root certificates and subordinate CA certificates that are technically capable of issuing S/MIME certificates that chain up (either directly or transitively) to a root certificate that has the email (S/MIME) trust

 bit enabled in Mozilla's CA Certificate Program shall be audited with a Period-of-Time audit according to the S/MIME BRs between September 1, 2023, and August 31, 2024, and annually thereafter. For CA operators to maintain their current annual audit cycles,

 the new S/MIME BR audit should be provided along with the other audits that the CA operator provides annually.</span><span style="font-size:12pt"><u></u><u></u></span></p>

<ul style="margin-top:0in" type="disc">

<li style="color:black;margin-top:12pt;margin-bottom:0in;vertical-align:baseline">

<span style="font-size:12pt">The audit period start date for the first S/MIME BR audit will be September 1, 2023, or earlier.<u></u><u></u></span></li></ul>

<ul style="margin-top:0in" type="disc">

<ul style="margin-top:0in" type="circle">

<li style="color:black;margin-top:0in;margin-bottom:0in;vertical-align:baseline">

<span style="font-size:12pt">At the CA operator’s option, the first S/MIME BR audit may cover the entire audit period.<u></u><u></u></span></li><li style="color:black;margin-top:0in;margin-bottom:0in;vertical-align:baseline">

<span style="font-size:12pt">The initial audit period start date for the first S/MIME BR audit cannot be before the effective date of a CA operator’s CP or CPS that confirms the CA operator’s compliance with the current version of the S/MIME BRs.<u></u><u></u></span></li></ul>

</ul>

<ul style="margin-top:0in" type="disc">

<li style="color:black;margin-top:0in;margin-bottom:0in;vertical-align:baseline">

<span style="font-size:12pt">If the CA operator’s existing regular audit period for other audit types ends after October 30, 2023, then we will expect to receive an S/MIME BR audit that covers September 1, 2023, through the end of that audit period (i.e.

 a Period-of-Time audit).<u></u><u></u></span></li></ul>

<ul style="margin-top:0in" type="disc">

<ul style="margin-top:0in" type="circle">

<li style="color:black;margin-top:0in;margin-bottom:0in;vertical-align:baseline">

<span style="font-size:12pt">If the CA operator’s first S/MIME BR audit period would be less than 60 days (e.g. audit period being September 1, 2023, to October 30, 2023), then a Point-in-Time audit may be performed. <u></u><u></u></span></li></ul>

</ul>

<ul style="margin-top:0in" type="disc">

<li style="color:black;margin-top:0in;margin-bottom:0in;vertical-align:baseline">

<span style="font-size:12pt">The first S/MIME BR audit for each CA root certificate and subordinate CA certificate may include a reasonable list of non-compliances that the CA operator (or subordinate CA operator) is not yet in compliance with.<u></u><u></u></span></li></ul>

<ul style="margin-top:0in" type="disc">

<ul style="margin-top:0in" type="circle">

<li style="color:black;margin-top:0in;margin-bottom:0in;vertical-align:baseline">

<span style="font-size:12pt">Only one Incident Bug needs to be filed containing the list of the non-compliances in a CA operator’s first S/MIME BR audit.<u></u><u></u></span></li></ul>

</ul>

<ul style="margin-top:0in" type="disc">

<li style="color:black;margin-top:0in;margin-bottom:12pt;vertical-align:baseline">

<span style="font-size:12pt">Submission of the second S/MIME BR audit report is expected to confirm that the issues that were listed in the first S/MIME BR audit report have been resolved. <u></u><u></u></span></li></ul>

<p style="margin:0in"><span style="font-size:12pt;color:black">We look forward to your constructive feedback on the proposed transition timeline.</span><span style="font-size:12pt"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p>

<p style="margin:0in"><span style="font-size:12pt;color:black">Regards,</span><span style="font-size:12pt"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:12pt"><u></u> <u></u></span></p>

<p style="margin:0in"><span style="font-size:12pt;color:black">Ben and Kathleen</span><span style="font-size:12pt"><u></u><u></u></span></p>

</div>

<p class="MsoNormal"><span style="font-size:12pt">-- <br>

You received this message because you are subscribed to the Google Groups "<a href="mailto:dev-security-policy@mozilla.org" target="_blank">dev-security-policy@mozilla.org</a>" group.<br>

To unsubscribe from this group and stop receiving emails from it, send an email to

<a href="mailto:dev-security-policy+unsubscribe@mozilla.org" target="_blank">dev-security-policy+unsubscribe@mozilla.org</a>.<br>

To view this discussion on the web visit <a href="https://groups.google.com/a/mozilla.org/d/msgid/dev-security-policy/CA%2B1gtabGSZqHeAF1BkaepgYXh73-c12%3DrxfChiUfPcC10TaH0Q%40mail.gmail.com?utm_medium=email&utm_source=footer" target="_blank">

https://groups.google.com/a/mozilla.org/d/msgid/dev-security-policy/CA%2B1gtabGSZqHeAF1BkaepgYXh73-c12%3DrxfChiUfPcC10TaH0Q%40mail.gmail.com</a>.<u></u><u></u></span></p>

</div>

</div>

_______________________________________________<br>

Smcwg-public mailing list<br>

<a href="mailto:Smcwg-public@cabforum.org" target="_blank">Smcwg-public@cabforum.org</a><br>

<a href="https://lists.cabforum.org/mailman/listinfo/smcwg-public" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/smcwg-public</a><br>

</div></blockquote></div>