<!DOCTYPE html>

<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p><font face="Calibri">I agree with Bruce.</font></p>

    <p><font face="Calibri">Adriano</font></p>

    <p><font face="Calibri"><br>

      </font></p>

    <div class="moz-cite-prefix">Il 14/12/2023 14:56, Bruce Morton via

      Smcwg-public ha scritto:<br>

    </div>

    <blockquote type="cite"

cite="mid:0100018c689d7d14-2e0d295e-4952-4049-bdc3-84d310911b4b-000000@email.amazonses.com">

      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

      <meta name="Generator"

        content="Microsoft Word 15 (filtered medium)">

      <style>@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}@font-face

        {font-family:DengXian;

        panose-1:2 1 6 0 3 1 1 1 1 1;}@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}@font-face

        {font-family:"\@DengXian";

        panose-1:2 1 6 0 3 1 1 1 1 1;}p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;

        mso-ligatures:standardcontextual;}a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;

        mso-ligatures:none;}div.WordSection1

        {page:WordSection1;}</style>

      <!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

      <title></title>

      <div align="center">

        <table width="30%" cellspacing="2" cellpadding="2" border="1">

          <tbody>

            <tr>

              <td valign="top" bgcolor="#ffff00"> <span

                  style="color: red;">NOTICE:</span> Pay attention -

                external email - Sender is

<a class="moz-txt-link-abbreviated" href="mailto:0100018c689d7d14-2e0d295e-4952-4049-bdc3-84d310911b4b-000000@amazonses.com">0100018c689d7d14-2e0d295e-4952-4049-bdc3-84d310911b4b-000000@amazonses.com</a>

              </td>

            </tr>

          </tbody>

        </table>

        <br>

      </div>

      <br>

      <div class="WordSection1">

        <p class="MsoNormal">I wondering about this requirement, “CAA

          checking is optional for Certificates issued by a Technically

          Constrained Subordinate CA Certificate as set out in [Section

          7.1.5](<u>#715-name-constraints</u>), where the lack of CAA

          checking is an explicit contractual provision in the contract

          with

          the Applicant.”<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">I understand this came from the TLS BRs. My

          assumption is a Technically Constrained Subordinate CA only

          issues

          certificates for domains which are in control by the

          Organization

          that operates the CA. For S/MIME the Applicants are employees

          or

          other people/entities which the Organization has approved can

          get

          an S/MIME certificate with their domain name. So what purpose

          is

          having an “explicit contractual position in the contract with

          the Applicant” to not check CAA? I guess this could be

          accomplished by adding to an internal subscription agreement,

          but

          does this provide an value?<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Could the requirements just be

          ““CAA checking is optional for Certificates issued by a

          Technically Constrained Subordinate CA Certificate as set out

          in

          [Section

          7.1.5](<u>#715-name-constraints</u>).”<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Thanks, Bruce.<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <div>

          <div

style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

            <p class="MsoNormal"><b><span style="mso-ligatures:none">From:</span></b>

              <span style="mso-ligatures:none">Smcwg-public

                <a class="moz-txt-link-rfc2396E" href="mailto:smcwg-public-bounces@cabforum.org"><smcwg-public-bounces@cabforum.org></a> <b>On Behalf

                  Of</b>

                Stephen Davidson via Smcwg-public<br>

                <b>Sent:</b> Wednesday, December 6, 2023 1:00 PM<br>

                <b>To:</b> <a class="moz-txt-link-abbreviated" href="mailto:smcwg-public@cabforum.org">smcwg-public@cabforum.org</a><br>

                <b>Subject:</b> [EXTERNAL] [Smcwg-public] CAA for

                S/MIME<o:p></o:p></span></p>

          </div>

        </div>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Hello:<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">Here is an updated diff for the CAA text

          following our discussions today:<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal">-As suggested by Cade, to add the TTL/8hr

          reference consistent with the TLS BR.<o:p></o:p></p>

        <p class="MsoNormal">-To add the implementation dates in 2.2 and

          4.2<o:p></o:p></p>

        <p class="MsoNormal"><o:p> </o:p></p>

        <p class="MsoNormal"><span style="mso-ligatures:none"><a

href="https://github.com/srdavidson/smime/compare/241e92cde85c25d7e0d4a5c70118ecadacd4d72b...43228a41a5cc99a3301c4066621787cde7e0f79a"

              moz-do-not-send="true" class="moz-txt-link-freetext">

https://github.com/srdavidson/smime/compare/241e92cde85c25d7e0d4a5c70118ecadacd4d72b...43228a41a5cc99a3301c4066621787cde7e0f79a</a><o:p></o:p></span></p>

        <p class="MsoNormal"><span style="mso-ligatures:none"><o:p> </o:p></span></p>

        <p class="MsoNormal"><span style="mso-ligatures:none">The plan

            will

            be to move this to ballot at the start of 2024, so I

            encourage CAs

            to engage with operations teams and/or software vendors on

            the

            suitability of the implementation dates.<o:p></o:p></span></p>

        <p class="MsoNormal"><span style="mso-ligatures:none"><o:p> </o:p></span></p>

        <p class="MsoNormal"><span style="mso-ligatures:none">Best

            regards,

            Stephen<o:p></o:p></span></p>

        <p class="MsoNormal"><span style="mso-ligatures:none"><o:p> </o:p></span></p>

        <p class="MsoNormal"><o:p> </o:p></p>

      </div>

      <i>Any email and files/attachments transmitted with it are

        intended

        solely for the use of the individual or entity to whom they are

        addressed. If this message has been sent to you in error, you

        must

        not copy, distribute or disclose of the information it contains.

        <u>Please notify Entrust immediately and delete the message from

          your system.</u></i>

      <br>

      <fieldset class="moz-mime-attachment-header"></fieldset>

      <pre class="moz-quote-pre" wrap="">_______________________________________________

Smcwg-public mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Smcwg-public@cabforum.org">Smcwg-public@cabforum.org</a>

<a class="moz-txt-link-freetext" href="https://lists.cabforum.org/mailman/listinfo/smcwg-public">https://lists.cabforum.org/mailman/listinfo/smcwg-public</a>

</pre>

    </blockquote>

  </body>

</html>