<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jun 11, 2021 at 10:26 AM Corey Bonnell via Validation <<a href="mailto:validation@cabforum.org">validation@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US" style="overflow-wrap: break-word;"><div class="gmail-m_3773436161010926390WordSection1"><p class="MsoNormal">Hello,<u></u><u></u></p><p class="MsoNormal">As you all know, Ballot 202 [1] failed a few years ago and since then there are certain areas where requirements are unclear. To address these issues, I drafted a ballot here: <a href="https://github.com/cabforum/servercert/pull/285" target="_blank">https://github.com/cabforum/servercert/pull/285</a>.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">In summary, there are three normative changes:<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Effective immediately upon passage:<u></u><u></u></p><ul style="margin-top:0in" type="disc"><li class="gmail-m_3773436161010926390MsoListParagraph" style="margin-left:0in">Prohibition on Unicode representation (“U-labels”) of Domain Labels in subject CN<u></u><u></u></li></ul><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Proposed effective October 1^st, 2021:<u></u><u></u></p><ul style="margin-top:0in" type="disc"><li class="gmail-m_3773436161010926390MsoListParagraph" style="margin-left:0in">All Domain Labels that begin with “xn--”must be followed by valid output of the Punycode encoding algorithm.<u></u><u></u></li><li class="gmail-m_3773436161010926390MsoListParagraph" style="margin-left:0in">Domain Labels that have hyphens as the third and fourth characters must have “xn” (case insensitive) as the first two characters (e.g., “zz—foo” is not allowed).<u></u><u></u></li></ul><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"> Judging from some analysis of CT logs, the prohibition on U-labels and XN-labels with invalid Punycode output affects very few certificates (~100 valid certificates in CT). The prohibition on non-XN-label Reserved LDH labels will be more impactful (several thousand certificates).<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Ryan has provided feedback on the ballot text (thanks!) on Github and also raised the question whether this ballot should be incorporated in the profiles ballot. My thinking is that we should propose this separately, as doing so will reduce the number of normative changes introduced by the profiles ballot, which will make it easier for CAs to process and update their operations accordingly. Additionally, all the concepts proposed in this ballot have been previously discussed during Ballot 202 discussion, so this ballot is essentially “self-contained”. I am interested to hear what the group thinks, both in terms of whether this work should be incorporated in the profiles ballot, and on the draft ballot content itself (especially effective dates).<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Thanks,<u></u><u></u></p><p class="MsoNormal">Corey</p></div></div></blockquote><div><br></div><div>Hey Corey,</div><div><br></div><div>I think we're happy to endorse either way, and I'll do another detailed pass, although the quick skim of your more recent edits all look great.</div><div><br></div><div>As mentioned, the profiles integration is largely selfish - trying to maintain two versions of profiles with and without this draft would be unfortunate and a fair bit of work. That said, I definitely want to make forward progress on as much as we can, so if we can get this started sooner than later (i.e. without months of discussion, as some ballots seem to unfortunately take), all the better! </div></div></div>