<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Helvetica;
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"Segoe UI Symbol";
        panose-1:2 11 5 2 4 2 4 2 2 3;}
@font-face
        {font-family:"Myriad Set Pro";
        panose-1:0 0 0 0 0 0 0 0 0 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.apple-converted-space
        {mso-style-name:apple-converted-space;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:2013869806;
        mso-list-template-ids:-60788186;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l0:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l0:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><b>Why would the CAB Forum make these changes? &nbsp;What’s the impetus? &nbsp;What would the benefits be to the Forum and the members?<o:p></o:p></b></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>As Certification Authorities, we issue X.509v.3 certificates for server authentication, code signing, secure email, client authentication, document signing, IOT device authentication, and a number of other, similar, public PKI purposes.  From time to time we encounter questions about what are the best industry practices when issuing and managing these types of certificates.  One venue, which has proven useful when discussing server authentication certificate issues, is the CAB Forum.  <o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>The CAB Forum already has an established infrastructure.  It has a wiki, an email server, a website, a GitHub repository, a telephone bridge, a set of Bylaws, an IPR Policy, member representatives,  and finally and most importantly, a reputation with CAs and application software providers.   These are all valuable resources that can be leveraged and used to discuss other certificate types used in public PKI.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>An explicit broadening of the allowed scope (DigiCert believes that the scope has always included other types of certificates) will allow CAs and others to move forward more efficiently in these other areas of public PKI.<o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b>How do you envision the IPR policy working in the model you’ve described? &nbsp; Would&nbsp;there be one CAB Forum IPR policy, or an IP policy for each working group (there were objections to having multiple IP policies)<o:p></o:p></b></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>There would be one IPR Policy based on a participation model or as Peter Bowen noted, it would be more appropriate to call it a “working-group-membership-based IPR policy”-- if you stay silent on calls or take no action during working group meetings you are still deemed to be participating.  For example, a Member would be deemed  to  “participate”  if  it or  its  representative:  (1)  formally  joins  a working  group  as  a  listed  participant;  or  (2)  makes  a  Contribution  to  a Working Group; or (3) attends more than one (1) meeting of a Working  Group  (in  person  or  by  telephone)  within  a  one-year  period.  [Source:  <a href="https://www.sdcard.org/join/pdf/ippolicy32909.pdf">https://www.sdcard.org/join/pdf/ippolicy32909.pdf</a>]   The terms and conditions of the IPR Policy would be limited in scope to and binding relative to each Working Group in which a member participates.  [Source:   <a href="http://www.gs1.org/docs/ip/GS1_Intellectual_Property_Policy.pdf">http://www.gs1.org/docs/ip/GS1_Intellectual_Property_Policy.pdf</a>] <o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='color:black'>How would the “Forum” activities be funded and staffed?<o:p></o:p></span></b></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='color:black'>No funding or staffing needed.  The proposal consists of minor definitional, organizational, structural, and procedural changes.  There are no new activities that aren’t already accounted for in existing CAB Forum documents and procedures.  <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='color:black'>Why should CAB Forum accommodate the requests of specific companies/members?<o:p></o:p></span></b></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span style='color:black'>The proposal does not seek to accommodate any specific company, member, or group of members (except CAs as a whole).  A participation-based model is a necessary outcome of the desired changes outlined in our answer to the first question above.  It isn’t an accommodation to any particular member—Google and Mozilla were simply the members who raised the issue first—i.e. that a participation model for the IPR would enable a broadening of scope, which is what CAs in the Forum desire.<o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><b><span style='color:black'>Where do you see browsers fitting into the equation?</span></b><b><o:p></o:p></b></p><p class=MsoNormal>Browsers would be entitled to vote at both the Forum level and the Working Group level.  At the Forum level browsers would be a subset of “application software supplier” now used in the Baseline Requirements and defined in the BRs as “A supplier of Internet browser software or other relying-party application software that displays or uses Certificates and incorporates Root Certificates.”  At the Working Group level, nothing would change – browsers would still have the same voting rights on matters involving the EV Guidelines and the  Baseline Requirements.<o:p></o:p></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><a name="_MailEndCompose"><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'><o:p>&nbsp;</o:p></span></a></p><span style='mso-bookmark:_MailEndCompose'></span><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>From:</span></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'> vfournier@apple.com [mailto:vfournier@apple.com] <br><b>Sent:</b> Wednesday, July 20, 2016 5:09 PM<br><b>To:</b> Ben Wilson &lt;ben.wilson@digicert.com&gt;<br><b>Cc:</b> Govreform@cabforum.org<br><b>Subject:</b> Re: [cabf_governance] DigiCert's Proposal for Governance Reform<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'>Hi Ben,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'><o:p>&nbsp;</o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'>Thanks for sending this. &nbsp;I haven’t digested your suggested model in detail yet, but I have some questions.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'>&nbsp;&nbsp;<o:p></o:p></span></p></div><div><ul type=disc><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1'>Why would the CAB Forum make these changes? &nbsp;What’s the impetus? &nbsp;What would the benefits be to the Forum and the members?<o:p></o:p></li><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1'>How do you envision the IPR policy working in the model you’ve described? &nbsp; Would&nbsp;there be one CAB Forum IPR policy, or an IP policy for each working group (there were objections to having multiple IP policies)?<o:p></o:p></li><li class=MsoNormal style='color:black;mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1;-webkit-text-stroke-color: rgb(0, 0, 0);-webkit-text-stroke-width: initial;word-spacing:0px'><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>How would the “Forum” activities be funded and staffed?<o:p></o:p></span></li><li class=MsoNormal style='color:black;mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1;-webkit-text-stroke-color: rgb(0, 0, 0);-webkit-text-stroke-width: initial;word-spacing:0px'><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>Why should CAB Forum accommodate the requests of specific companies/members?<o:p></o:p></span></li><li class=MsoNormal style='color:black;mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1;-webkit-text-stroke-color: rgb(0, 0, 0);-webkit-text-stroke-width: initial;word-spacing:0px'><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>Where do you see browsers fitting into the equation?<o:p></o:p></span></li></ul></div></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Helvetica",sans-serif;color:black'><o:p>&nbsp;</o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Helvetica",sans-serif;color:black'><br><br><o:p></o:p></span></p></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'>Best regards,<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'><o:p>&nbsp;</o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'>Virginia Fournier<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'>Senior Standards Counsel<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Myriad Set Pro",serif;color:#5E5E5E'></span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'>&nbsp;Apple Inc.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Segoe UI Symbol",sans-serif;color:black'>☏</span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'> 669-227-9595<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Segoe UI Symbol",sans-serif;color:black'>✉︎</span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:black'>&nbsp;<a href="mailto:vmf@apple.com">vmf@apple.com</a></span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:#4787FF'><o:p></o:p></span></p></div></div><div><div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Helvetica",sans-serif;color:black'><o:p>&nbsp;</o:p></span></p></div><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:"Helvetica",sans-serif;color:black'><o:p>&nbsp;</o:p></span></p></div></div></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p>&nbsp;</o:p></p></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><div><p class=MsoNormal>On Jul 20, 2016, at 12:08 PM, Ben Wilson &lt;<a href="mailto:ben.wilson@digicert.com">ben.wilson@digicert.com</a>&gt; wrote:<o:p></o:p></p></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>DigiCert’s preferred model for governance reform of the CA/Browser Forum is working-group-centric as it emphasizes the importance of working groups in the areas of membership, voting, and IPR obligations.&nbsp;<span class=apple-converted-space>&nbsp;</span><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>&nbsp;<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>While the two underlying themes to our discussions about governance reform lately have been entitlement to vote and the over-inclusive scope of the IPR policy, we should not oversimplify the reasons for seeking governance reform. They go beyond the factors that caused the code signing ballot to fail.&nbsp; Additional requests of members have included:&nbsp; one organization where activities are coordinated, self-regulation in the industry, and a legally recognized structure (i.e. sufficient enough for the Forum to receive an EV certificate).&nbsp; These additional requests should be accommodated if possible.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>&nbsp;<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>DigiCert favors a resolution that moves the current membership and voting criteria to a “Server Certificate Working Group” leaving membership at the Forum level of the organization responsible for administration and maintenance of the Forum.&nbsp; While the purpose of the Forum as a whole would be to address standards applicable to CAs issuing digital certificates, the scope of activities at the Forum level would be limited to scheduling meetings, creating/eliminating working groups, harmonizing the work product of working groups, maintaining the website, and maintaining the IPR policy.&nbsp; For these purposes, the Bylaws would create “Standing Committees” formed to work and&nbsp; advise Forum membership on areas delegated to Standing Committees in the Bylaws.&nbsp; There would be no Executive Committee—each member at the Forum level would&nbsp; have one vote, but membership in a working group would not entitle that company to membership at the Forum level.&nbsp;&nbsp; Membership at the Forum level would not require participation in any working group.&nbsp;&nbsp;&nbsp;<span class=apple-converted-space>&nbsp;</span><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>&nbsp;<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>Similar to today’s membership criteria, membership at the Forum level would be limited to CAs and software companies of a certain size that manage root stores.&nbsp; (The name of the CA/B Forum doesn’t need to change – the meaning of “CA/B” can be historic.)&nbsp; Each working group would be responsible for creating and maintaining its own membership rules and voting rules.&nbsp; As stated above, the membership criteria and voting rights in the Server Certificate Working Group would be the same as they are today for the Forum as a whole.&nbsp; Additional working groups would be the Code Signing Working Group and the Client Certificate Working Group.&nbsp; DigiCert proposes that membership in the Code Signing Working Group be limited to those CAs that issue code signing certificates and those software providers actively engaged in maintaining trust stores for code signing.&nbsp; Membership in the Client Certificate Working Group would be similarly limited to CAs that issue certificates for S/MIME, digital signature, and client authentication and to software providers that process those certificates.&nbsp; However, these are just suggestions and membership in each working group would be decided by the working group itself. Voting rules could be established by each of those working groups once they convene.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>&nbsp;<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>This two-layer structure is important for implementation of a working-group approach to IPR obligations.&nbsp; Votes by membership at the upper, Forum level of the organization should not encumber the intellectual property rights of members.&nbsp; Segregating administrative-management activities at the Forum level with Standing Committees from standards-adopting activities in Working Groups provides a clear guide for members and their legal counsel to follow when evaluating the IPR consequences of Forum participation.&nbsp; Conversely, the proposal to preserve voting on server-certificate issues at the Forum level does not resolve the IPR concerns that have been previously expressed.<span class=apple-converted-space>&nbsp;</span><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>&nbsp;<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>&nbsp;<o:p></o:p></span></p></div><p class=MsoNormal>&lt;CABForum.pdf&gt;<span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>_______________________________________________<br>Govreform mailing list<br></span><a href="mailto:Govreform@cabforum.org"><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:#954F72'>Govreform@cabforum.org</span></a><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'><br></span><a href="https://cabforum.org/mailman/listinfo/govreform"><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:#954F72'>https://cabforum.org/mailman/listinfo/govreform</span></a><o:p></o:p></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div></body></html>