<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 12, 2020 at 4:09 PM Ryan Sleevi <<a href="mailto:sleevi@google.com">sleevi@google.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">I had an issue flagged by a CA and went and filed <a href="https://github.com/cabforum/documents/issues/179" target="_blank">https://github.com/cabforum/documents/issues/179</a> to try to capture the issue<div><br></div><div>The TL:DR: is how to handle a sub-CA that wishes to use the CABF OIDs within their end-entity certificates, but is not Affiliated with the Root.</div></div></blockquote><div><br></div><div>Bumping this, and hoping to get some feedback from other root programs as to whether or not they see it as an issue with the BRs, and whether the attempted solution ( <a href="https://github.com/sleevi/cabforum-docs/pull/21">https://github.com/sleevi/cabforum-docs/pull/21</a> ) is aligning in the right direction. As it is, it raises questions about whether some Sub-CAs are in compliance, and creates challenges for issuing new Sub-CAs, so I want to make sure we're moving in the right direction and giving CAs the clarity they need from Root Programs.</div><div><br></div><div>Separate from that more immediate issue, I'm also starting to wonder whether, longer-term, we should restructure how we handle these policy OIDs, to make it easier for Relying Party software to use certificatePolicies for verification, rather than the (implemented by Google/Mozilla/Microsoft) EKU chaining behaviour. This would likely help resolve some of the issues around separate trust frameworks, by more clearly asserting the trust framework (or frameworks) a certificate belongs to. That's not something we need to immediately tackle, as we can still smoothly transition later, but the way our current requirements are structured, which this PR tries to preserve, prevents that.</div></div></div>