<div dir="ltr">

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Validation Subcommittee – Minutes of Thursday, February

9, 2023<span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Minute Taker:</b><span> 

</span>Ben Wilson<span>  </span>(<b>Next Up:</b><span>  </span>Andrea Holland)<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Attendance</b>:<span>  </span>Aaron

Poulsen - Amazon Trust Services, Andrea Holland - VikingCloud, Aneta Wojtczak –

Microsoft, Bruce Morton – Entrust, Ben Wilson – Mozilla, Chris Clements -

Google Chrome, Clint Wilson – Apple, Corey Bonnell – DigiCert, Doug Beattie –

GlobalSign, Dustin Hollenback – Microsoft, Enrico Entschew - D-Trust, I<span>ñ</span>igo

Barreira – Sectigo, Joe Ramm – OATI, Kiran Tummala – Microsoft, Martijn

Katerbarg – Sectigo, Michelle Coon – OATI, Nargis Mannan – VikingCloud, Paul

van Brouwershaven – Entrust, Pekka Lahtiharju – Telia, Rebecca Kelley – Apple,

Rollin Yu – TrustAsia, Ryan Dickson - Google Chrome, Michael Slaughter –

Amazon, Stephen Davidson – DigiCert, Tobias Josefowitz – Opera, Trevoli

Ponds-White - Amazon Trust Services, Wendy Brown - FPKIMA<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Antitrust Statement:</b> Read by Corey Bonnell<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Previous Minutes:<span>  </span></b>Minutes

of January 26, 2023, prepared by Aneta Wojtczak, unanimously approved. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Agenda Review:</b><span>  

</span>Notably, the certificate profiles topic is no longer on the list,

because that is now up in the Server Certificate Working Group, and the

discussion period has started.<span>  </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Face-to-face planning:<span> 

</span>The role of the Applicant and Applicant Representatives as defined in

the BRs. We've also had some discussion on LEIs, which is another topic that we

can discuss. <span> </span>What else?<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">There is the OCSP-optional ballot, but maybe that is a

Server Certificate Working Group topic and not a Validation Subcommittee topic.

Ryan Dickson was planning on pursuing that more seriously after the profiles ballot

because of the way that that changes would flow. With regards to business of

the Server Certificate WG, there was also the other OCSP ballot proposed by David

Kluge regarding SLAs, but for these kinds of things we do not seem to find time

during the WG meetings to discuss them. <span> </span>We might use some of the time to discuss

Server Certificate WG items. Still, the problem seems to be that we only have

half an hour every other week because we are with the Forum call, so it’s

something we should think about for the face-to-face meeting.<span>  </span>Bruce agreed with looking at the face-to-face

schedule to see what we can address from the Server Certificate WG perspective.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ryan proposed that we discuss multi-perspective domain

validation, because we will hear from a guest speaker, Henry Briggs-Lee of

Princeton, who specializes in multi-perspective domain validation or multi-vantage

point domain validation, BGP hijacking, and network style attacks. We could

have proactive discussions following the presentation. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">It was agreed that we should discuss multi-perspective

validation and the research findings. It will be presented and then we can also

do the Applicant/Applicant’s Representative next-steps discussion as well. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ben mentioned that he would talk about incident report types

and that about 50% of the incidents in Bugzilla have been EV or OV misissuances,

and he’d like to discuss how we can bring that number down.<span>  </span>However, he didn’t think he was ready to

address that yet, because he needs to look more carefully at the underlying

causes, and he hasn’t done a full analysis of those.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Bruce suggested that because the EV Guidelines are coming up

on being 17 or 18 years old, maybe it was time to revise them.<span>  </span>They are too legal and not techie/not as

technical as the rest of our specs, and maybe EV misissuances will go down with

simpler EV requirements. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ben said that from his recollection, there is always some

field that got mis-validated, either in OV or EV, and there's certainly more OV

than EV. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">We should look to where the requirements can be improved to

mitigate against misissuance, but until we have more root cause analyses, it might

be difficult to have the discussion. <br></p><p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">We have

two potential topics--Applicant Representative next steps and multi-perspective

domain validation. <span> </span>Do we want to split the

time half and half and go 45 minutes with each one?<span>  </span>Well if there's no strong opinion, we can go

half and half.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">The third agenda item for today is to look at next steps in our

analysis of the BR's “Applicant” and “Applicant Representative”. <span> </span>The notable items have been divided into 3

buckets, the first of which is “To keep in mind”, the second is “To discuss

further,” and the third is “To do”. <span> </span>Discussion

items might warrant further discussion to come up with actionable next steps in

terms of developing concrete requirements, while to-do items are more straightforward.

<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">First, we have noted that we should try to maintain the

current language in the Subscriber Agreement and Terms of Use requirements to

avoid any messy legal changes. But in BR Section 9.6.3 we have talked about

replacing Subscriber with Applicant/Subscriber, and then also changing the

language to differentiate “initial certificate requests” and “subsequent

requests”. <span> </span>Ben was in favor of making

the changes proposed in BR section 9.6.3. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Second, there are five “to discuss further” items that Corey

distilled from the conversations.<span>  </span>From

his email of February 6, they were:<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 0in 0.5in;line-height:normal;font-size:11pt;font-family:"Calibri",sans-serif">1. Do we need a term to encompass the

concept of a current Subscriber that has submitted a Certificate Request for a

new Certificate?<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 0in 0.5in;line-height:normal;font-size:11pt;font-family:"Calibri",sans-serif">2. Ben's language for section 1.3.3:

<a href="https://lists.cabforum.org/pipermail/validation/2022-November/001826.html">https://lists.cabforum.org/pipermail/validation/2022-November/001826.html</a><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 0in 0.5in;line-height:normal;font-size:11pt;font-family:"Calibri",sans-serif">a. Does this resolve concerns around CAs

issuing Test Website certificates, etc.?<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 0in 0.5in;line-height:normal;font-size:11pt;font-family:"Calibri",sans-serif">3. More closely examine references to

"hosting providers" in section 9.6.3 and other locations<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 0in 0.5in;line-height:normal;font-size:11pt;font-family:"Calibri",sans-serif">a. This ties very closely into the

extensive discussion in November on "Cloud Providers" issuing

certificates from CAs that are controlled by the "Cloud Provider":

<a href="https://lists.cabforum.org/pipermail/validation/2022-November/001827.html">https://lists.cabforum.org/pipermail/validation/2022-November/001827.html</a><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 0in 0.5in;line-height:normal;font-size:11pt;font-family:"Calibri",sans-serif">4. What exactly is a “certificate

request”? Sections 4.1 and 4.2 need help, as it's not clear what exactly a

"certificate request" is or what exactly a "certificate

request" is comprised of (<a href="https://github.com/cabforum/servercert/issues/400">https://github.com/cabforum/servercert/issues/400</a>)<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 0in 0.5in;line-height:normal;font-size:11pt;font-family:"Calibri",sans-serif">5. What do the Terms of Use accomplish

when the Subscriber is the CA?<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><span> </span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">The first item is that we need a term to encompass the

concept of a current subscriber that has submitted a certificate request for a

new certificate. Ben asked if we could just use the term “current subscriber”?<span>  </span>Or there might be some other phrase that says

“the subscriber seeking renewal”. <span> </span>We

looked at BR sections 4.1.2, 4.1.4, and 4.2.1. The concept expressed there is

that one certificate request may suffice for multiple certificates being issued

to the same applicant. <span> </span>One idea was that

if we used Applicant/Subscriber down in section 9.6.3, then we could use Applicant/Subscriber

elsewhere in the BRs, too.<span>  </span>However,

would it change the meaning of the section where the certificate may not be

issued yet. So there was concern about introducing the word “Subscriber” and

whether it might cause confusion.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Corey said it would be good to have a term that addresses

the different situations where the applicant is seeking to renew a certificate

or obtain additional certificates.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Clint said that a subscriber can be an applicant, and an

applicant can be a subscriber, and sometimes both at once, and sometimes

separately, but it is unclear where that causes confusion for CAs and where and

how it can be fixed to address any concerns or provide more clarity.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Doug said that we have the definition for Applicant and Applicant

Representative, but we don't have the same for Subscriber, and should we adopt

something for a “Subscriber Representative”? They would be delegated certain

abilities to manage certificates that the subscriber may have allocated to

them, like revocation by a third party or something like that?<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Trev said that we need to address how people want to manage

certificates. They want to obtain a certificate and get another one so that

their service stays up and running. There may be places in the BRs where we

have written the rules in a way that is hostile to automation. Can someone just

say, “for this duration, I am using this other service just to manage my

certificates for me”? <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Doug asked about delegating responsibilities to a reseller

or partner.<span>  </span>Can you delegate revocation

responsibilities to a reseller for all the certificates that they resell? <span> </span>Can the subscriber explicitly say, somewhere

along the way, “that's OK”?<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Clint said that it made sense to provide clarity in those

areas, such as a subscriber representative, because there is delegation and shared

responsibility, preserving the idea that ultimately the subscriber is

responsible, but that doesn’t address the question of whether the subscriber can

be an applicant.<span>  </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Trev said we need to look at how people want to use certificates.<span>  </span>For example, 10-day certificates--some people

might interpret the BRs to mean that every time someone gets a new ten-day certificate

they need to have performed a manual action to agree to a subscriber agreement.<span>  </span>That's the opposite of what we want, and what

people want to do with certificates. <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Corey said that the notion of a subscriber representative,

and also the aspects of automation, touch closely on some of the other

discussion points that we raised and have discussed previously around hosting

providers and cloud providers, which is in Point 3.<span>  </span>Maybe if we address that first, then it can

feed into these other issues?<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Ben asked whether we needed someone to write up a use case

or a conceptual model that we can use to compare how these service providers do

automated certificate renewal or issue additional certificates. And then we

could go through the BRs and determine whether the current language works or

not or where we need to make an adjustment to the BRs to accommodate these newer

service models. Whatever that thing is that manages certificates for the users,

and then we identify those rough parts in the BRs.<span>  </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Corey asked whether we should look at different models, like

CDNs, hosting providers, and any other services we can think of, and try to

model those services in terms of the applicant, the subscriber, and the CA, and

their relationships, and then identify misalignment with the BRs in terms of

those models.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">There was general agreement that we should look at how these

things work, or how we want them to work, and then come back to the BRs.<span>  </span>It was also suggested that between the

meeting and the upcoming face-to-face meeting that work could be done on each

of these different models so that we could discuss them at the face-to-face

meeting.<span>  </span>We could also have people identify

their pain points, because in this respect there may be groups using ACME that

have pain points with the current BRs.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">The group then discussed some of the differences between a

traditional hosting provider and the cloud service provider.<span>  </span>In some situations, the Subscriber generates

the key on the hosting provider’s machine, and is given a CSR. The Subscriber

then finds a CA and brings back the certificate chain and then an administrator,

or some automated interface, takes that certificate chain and installs it on

the web server, whereas in the cloud model it is more automated.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">The ACME model was also mentioned. Ryan explained that with ACME,

you first register an account with the CA, and at that point you accept the

terms of service or subscriber agreement. You register an account that

basically creates a local key pair that is then used to sign all subsequent

requests to that service. You're accepting the subscriber agreement once and

then thereafter anytime you make any request either to replace an existing

certificate, renew or revoke. You do not sign a new subscriber agreement. It's

basically accept once, use many.<span>  </span>RFC 8555

basically describes two life cycles within the service itself. The first is

registration, and the second is certificate management. So you perform

registration once, and that's where you're creating a specific account with the

ACME server, which we can think of as like the CA. And once that is done, you basically

have a local key pair on your device, that is, that is then used to

authenticate feature requests to the CA.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">The group then discussed spinning up some document sharing

to explore the different service models, and Corey will be sending an email seeking

volunteers.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">The meeting on February 23, 2023, will be cancelled.<span>  </span>The next meeting following the face-to-face

will be on March 9, 2023.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Meeting adjourned.<span></span></p>

</div>