
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle19


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="#0563C1" vlink="#954F72">


<div class="WordSection1">


<p class="MsoNormal">Ryan,<o:p></o:p></p>


<p class="MsoNormal">We’re not completely against the idea of removing OU altogether, however there are a couple of use cases that I think are both legit and verifiable/auditable, though there may be better ways than keeping OU alive to accommodate them.  I’m


 still looking into the particulars and will post more detail shortly.<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">Regards,<o:p></o:p></p>


<p class="MsoNormal">Rich<o:p></o:p></p>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b>From:</b> Ryan Sleevi <sleevi@google.com> <br>


<b>Sent:</b> Monday, August 24, 2020 12:24 PM<br>


<b>To:</b> Richard Smith <rich@sectigo.com>; CA/Browser Forum Validation SC List <validation@cabforum.org><br>


<b>Subject:</b> Re: [cabf_validation] Revision to OU requirements<o:p></o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div style="border:solid black 1.0pt;padding:2.0pt 2.0pt 2.0pt 2.0pt">


<p class="MsoNormal" style="line-height:12.0pt;background:#FAFA03"><span style="font-size:10.0pt;color:black">CAUTION: This email originated from outside of the organization. Do not click links or open attachments unless you recognize the sender and know the


 content is safe.<o:p></o:p></span></p>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I also think we should remove the exception for OU from 9.6.1 (3), strike 9.6.1 (4) completely.  As has been discussed ad nauseum in other contexts, what does “misleading” actually


 mean? It’s not auditable and provides no meaningful normative guidance.  IMO we should implement ACTUAL verification requirements for the OU field in 3.2.2.1.<o:p></o:p></p>


</div>


</div>


</blockquote>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">The conversation in Bratislava was, I think, much more productive and germane: Why permit the OU at all?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">In the several months since, we haven't really seen any identified or enumerated use cases forthcoming from CAs. The in-person discussion seemed largely to be around "Customers ask for it" (in which case, the goal was for CAs to determine


 why) or "They use it for certificate inventorying", which there seemed consensus that this was at odds with the general direction of improving automation and certificate management.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I think a reasonable next step would be to forbid issuance of any certificate with OU. If there are use cases relevant to the establishment of SSL/TLS connections, particularly in web browsers, we should work to identify concretely those


 use cases, so we can discuss both their semantic expression (i.e. beyond OU) and their verification expectations. <o:p></o:p></p>


</div>


</div>


</div>


</div>


</div>


</body>


</html>