
<div dir="ltr"><div>Thanks!  

<font size="2">The reason I asked -- <span style="color:rgb(29,28,29);font-family:Slack-Lato,Slack-Fractions,appleLogo,sans-serif;font-style:normal;font-variant-ligatures:common-ligatures;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:left;text-indent:0px;text-transform:none;word-spacing:0px;white-space:normal;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;display:inline;float:none"><span></span>I'm finalizing the Mozilla Root Store Policy v. 2.9, and I'm thinking of referencing "3.2.2" as a way to broadly cover the validation of information that might go in a name-constrained sub CA.</span></font></div><div><font size="2"><span style="color:rgb(29,28,29);font-family:Slack-Lato,Slack-Fractions,appleLogo,sans-serif;font-style:normal;font-variant-ligatures:common-ligatures;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:left;text-indent:0px;text-transform:none;word-spacing:0px;white-space:normal;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;display:inline;float:none">Thanks again,</span></font></div><div><font size="2"><span style="color:rgb(29,28,29);font-family:Slack-Lato,Slack-Fractions,appleLogo,sans-serif;font-style:normal;font-variant-ligatures:common-ligatures;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:left;text-indent:0px;text-transform:none;word-spacing:0px;white-space:normal;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;display:inline;float:none">Ben<br></span></font></div>


</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Aug 8, 2023 at 2:17 PM Stephen Davidson <<a href="mailto:Stephen.Davidson@digicert.com">Stephen.Davidson@digicert.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-6164745845964982027">


<div lang="EN-US" style="overflow-wrap: break-word;">

<div class="m_-6164745845964982027WordSection1">

<p class="MsoNormal">Hi Ben:<u></u><u></u></p>

<p class="MsoNormal"><br>

The reference to Section 3.2.2.3 goes with the "or has been authorized by the domain registrant to act on the registrant's behalf" part only.  The typical verification of the domain under active control of the registrant would be done via Section 3.2.2.1.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">A possible clarification might be phrased as:<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">"The CA SHALL confirm that the Applicant has registered the FQDN contained in the rfc822Name<b><u> in line with the verification practices of Section 3.2.2.1,

</u></b>or has been authorized by the domain registrant to act on the registrant’s behalf in line with the verification practices of Section 3.2.2.3."  <u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Best, Stephen<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<div style="border-width:1pt medium medium;border-style:solid none none;border-color:rgb(225,225,225) currentcolor currentcolor;padding:3pt 0in 0in">

<p class="MsoNormal"><b>From:</b> Smcwg-public <<a href="mailto:smcwg-public-bounces@cabforum.org" target="_blank">smcwg-public-bounces@cabforum.org</a>>

<b>On Behalf Of </b>Ben Wilson via Smcwg-public<br>

<b>Sent:</b> Tuesday, August 8, 2023 4:56 PM<br>

<b>To:</b> SMIME Certificate Working Group <<a href="mailto:smcwg-public@cabforum.org" target="_blank">smcwg-public@cabforum.org</a>><br>

<b>Subject:</b> [Smcwg-public] Validation of Information for Name-Constrained SubCAs<u></u><u></u></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:10pt">Does anyone recall offhand why section 7.1.5 doesn't also refer to section 3.2.2.1? </span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10pt">Section 7.1.5 says, "The CA SHALL confirm that the Applicant has registered the FQDN contained in the rfc822Name or has authorized by the domain registrant to act on the registrant’s behalf in line with the

 verification practices of Section 3.2.2.3."   </span><span style="font-size:10pt;font-family:"Arial",sans-serif;color:rgb(29,28,29);background:white">Section 3.2.2.3 is "Validating applicant as operator of associated mail server(s)", and section 3.2.2.1 is "</span>Validating

 authority over mailbox via domain."  Was there a concern that 3.2.2.1 was too broad and that validation had to be done pursuant to section 3.2.2.3?  And what about section 3.2.2.2 (validating control over mailbox via email).<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Thanks,<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Ben<u></u><u></u></p>

</div>

</div>

</div>

</div>


</div></blockquote></div>