<div dir="ltr">




















<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Validation Subcommittee Meeting of September 7, 2023<span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Notewell: <span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Read by Corey Bonnell<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Attendance: </b><span> </span><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Aaron Gable - ISRG, Aaron Poulsen - Amazon Trust Services, Andrea
Holland - VikingCloud, Aneta Wojtczak - Microsoft, Antonis Eleftheriadis - HARICA,
Ben Wilson - Mozilla, Bhat Abhishek - eMudhra, Bruce Morton - Entrust, Clint
Wilson – Apple, Corey Bonnell - DigiCert, Corey Rasmussen - OATI, Dimitris
Zacharopoulos - HARICA, Doug Beattie - GlobalSign, Dustin Hollenback -
Microsoft, Gurleen Grewal - Google Trust Services, Inigo Barreira - Sectigo, Joe
Ramm - OATI, Johnny Reading - GoDaddy, Keshava Nagaraju - eMudhra, Li-Chun Chen
- Chunghwa Telecom, Martijn Katerbarg - Sectigo, Michelle Coon - OATI, Nargis
Mannan - VikingCloud, Nate Smith - GoDaddy, Paul van Brouwershaven - Entrust, Q
Misell (Speaker/Invited Guest), Rebecca Kelley - Apple, Rollin Yu - TrustAsia, Roman
Fischer - SwissSign, Scott Rea - eMudhra, Tobias Josefowitz - Opera, Wayne
Thayer - Fastly, Wendy Brown – U.S. Federal PKI, <span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Previous Minutes:<span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Minutes for the August 10^th meeting prepared by
Aneta 
Wojtczak

were circulated August 23^rd, and they were approved.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">August 24^th minutes prepared by circulated Andrea
Holland on September 6^th and will be approved at the next meeting.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Agenda Items:<span></span></b></p>

<p class="gmail-MsoListParagraphCxSpFirst" style="margin:0in 0in 0in 0.5in;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><span style="font-family:Symbol"><span>·<span style="font:7pt "Times New Roman"">       
</span></span></span>Q Misell’s presentation on ACME for Onion/Tor<span></span></p>

<p class="gmail-MsoListParagraphCxSpLast" style="margin:0in 0in 8pt 0.5in;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><span style="font-family:Symbol"><span>·<span style="font:7pt "Times New Roman"">       
</span></span></span>Review of To-Do List from February 2023</p><p class="gmail-MsoListParagraphCxSpLast" style="margin:0in 0in 8pt 0.5in;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><br><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Q Misell’s “ACME for Onions” and CAA for Onion Domain Names
presentation by Q Misell<span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">See <a href="https://magicalcodewit.ch/cabf-2023-09-07-slides/" style="color:blue;text-decoration:underline">https://magicalcodewit.ch/cabf-2023-09-07-slides/</a>
<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Q is working on defining a CAA extension for .onion domains.
<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">See <a href="https://datatracker.ietf.org/doc/draft-ietf-acme-onion/" style="color:blue;text-decoration:underline">https://datatracker.ietf.org/doc/draft-ietf-acme-onion/</a>
and <a href="https://acmeforonions.org/" style="color:blue;text-decoration:underline">https://acmeforonions.org/</a><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">This will allow automated issuance of certificates to Tor
hidden services and make .onion domains act like the DNS from a WebPKI
perspective.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Implementing with CAA provides consistency and reduces the
risk of misissuance.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Q reviewed how it works through the various layers of
encrypted data.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">.onion domains aren't in the DNS, so standard CAA records can't
be used. Instead, CAA records are encoded in the BIND zone file format in the
second layer hidden service descriptor.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">A new field in the first layer hidden service descriptor signals
that there are CAA records in the second layer descriptor.</p><p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><br><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif"><b>Reviewed To-Do list from February 2023<span></span></b></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">See <a href="https://lists.cabforum.org/pipermail/validation/2023-February/001860.html" target="_blank" style="color:blue;text-decoration:underline">https://lists.cabforum.org/pipermail/validation/2023-February/001860.html</a><span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">We discussed replacing "Applicant" with "Subscriber" in item
9 of section 4.9.1.1. Aaron G. expressed concerns about language in the
parentheses (i.e. "no longer legally permitted"). For example, it’s unclear what
happens when a registrant for a gTLD fails to renew its assignment with
ICANN.<span>  </span>How much detail do we want to get
into in the parenthetical in this section. And some examples don’t fall into the
bucket of “no longer legally permitted”.<span> 
</span>Aaron was also concerned about why a certificate should have to be
revoked if the domain is still valid in the DNS. Aaron might file an issue in
GitHub, or Corey may file one for the overall issue.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">We also discussed replacing “Applicant” or “Subscriber” with
“Applicant/Subscriber” in some places of section 9.6.3. Dimitrius proposed that
we split up the requirements between those applicable to either “Applicants” or
“Subscribers”. Wayne asked that we clarify the renewal scenario and whether the
entity is an applicant. Is the relationship transactional (on a per-certificate
basis), or does it depend on the relationship between the CA and the entity? (In
the BR definition of “Applicant” we say that they are an applicant even when
they are renewing a certificate.) <span> </span>Aaron
G. said that in the ACME protocol, a subscriber is someone who has agreed to
the subscriber agreement, which you do when you create an account, and who has
had a certificate issued to them – then you are a subscriber forever more.<span>  </span>But also, when you are obtaining new
certificates over a ten-year period, you are both a subscriber and an applicant
because you are applying for a new certificate now. Ben was concerned that we
don’t have sufficient consensus on how these concepts should be expressed, and
therefore it was too early to address them in the upcoming “Subscriber
Agreement” ballot that he and Dustin are working on. Corey suggested that this issue be added to the agenda for an
upcoming meeting, such as a server certificate working group meeting or the
face-to-face.<span></span></p>

<p class="MsoNormal" style="margin:0in 0in 8pt;line-height:107%;font-size:11pt;font-family:"Calibri",sans-serif">Meeting adjourned.<span></span></p></div>