<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Helvetica;
        panose-1:2 11 6 4 2 2 2 2 2 4;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"Segoe UI Symbol";
        panose-1:2 11 5 2 4 2 4 2 2 3;}
@font-face
        {font-family:Georgia;
        panose-1:2 4 5 2 5 4 5 2 3 3;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
@font-face
        {font-family:"Segoe UI Emoji";
        panose-1:2 11 5 2 4 2 4 2 2 3;}
@font-face
        {font-family:"Times New Roman \, serif\;";
        panose-1:0 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri-Bold;
        panose-1:0 0 0 0 0 0 0 0 0 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        color:black;}
p.m-4902667852659881194msoplaintext, li.m-4902667852659881194msoplaintext, div.m-4902667852659881194msoplaintext
        {mso-style-name:m-4902667852659881194msoplaintext;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        color:black;}
span.apple-converted-space
        {mso-style-name:apple-converted-space;}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle25
        {mso-style-type:personal;
        font-family:"Georgia",serif;
        color:windowtext;
        font-weight:normal;
        font-style:normal;}
span.EmailStyle26
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:881093188;
        mso-list-template-ids:25064846;}
@list l1
        {mso-list-id:1366325420;
        mso-list-template-ids:2019971512;}
@list l1:level1
        {mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1:level2
        {mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1:level3
        {mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1:level4
        {mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1:level5
        {mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1:level6
        {mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1:level7
        {mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1:level8
        {mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1:level9
        {mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>The SCWG Charter already sets a membership requirement for the audits we are discussing – see text below.  Why do we also need to repeat that in Bylaw 2.1 for Forum membership?<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Seems the easiest fix is just to change Bylaw 2.1(a) to say “All members of Working Groups created under Bylaw 5.3 shall automatically be members of the Forum.”  That would work no matter what audits are required by future WGs.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='text-autospace:none'><b><span style='font-family:Calibri-Bold;color:windowtext'>[SCWG] Members eligible to participate</span></b><span style='color:windowtext'>: The Working Group shall consist of two classes of voting members, the<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>Certificate Issuers and the Certificate Consumers. The CA Class shall consist of eligible Certificate Issuers and<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>Root Certificate Issuers meeting the following criteria:<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>(1) Certificate Issuer: The member organization operates a certification authority that has a current and<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>successful WebTrust for CAs audit, or ETSI TS 102042, ETSI 101456, or ETSI EN 319 411-1 audit report prepared<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>by a properly-qualified auditor, and that actively issues certificates to Web servers that are openly accessible<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>from the Internet, such certificates being treated as valid when using a browser created by a Certificate<o:p></o:p></span></p><p class=MsoNormal><span style='color:windowtext'>Consumer Member. Applicants that are not actively issuing certificates but otherwise meet membership criteria</span><span style='color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>may be granted Associate Member status under Bylaw Sec. 3.1 for a period of time to be designated by the<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>Forum.<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>(2) Root Certificate Issuer: The member organization operates a certification authority that has a current<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>and successful WebTrust for CAs, or ETSI TS 102042, ETSI TS 101456, ETSI EN 319 411-1 audit report prepared by<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>a properly-qualified auditor, and that actively issues certificates to subordinate CAs that, in turn, actively issue<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>certificates to Web servers that are openly accessible from the Internet, such certificates being treated as valid<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>when using a browser created by a Certificate Consumer Member. Applicants that are not actively issuing<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>certificates but otherwise meet membership criteria may be granted Associate Member status under Bylaw Sec.<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>3.1 for a period of time to be designated by the Forum.<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>(3) A Certificate Consumer can participate in this Working Group if it produces a software product intended<o:p></o:p></span></p><p class=MsoNormal style='text-autospace:none'><span style='color:windowtext'>for use by the general public for browsing the Web securely.<o:p></o:p></span></p><p class=MsoNormal><span style='color:windowtext'>The Working Group shall include Interested Parties and Associate Members as defined in the Bylaws.</span><span style='color:#1F497D'><o:p></o:p></span></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='color:windowtext'>From:</span></b><span style='color:windowtext'> Jos Purvis (jopurvis) [mailto:jopurvis@cisco.com] <br><b>Sent:</b> Friday, August 31, 2018 12:49 PM<br><b>To:</b> Tim Hollebeek <tim.hollebeek@digicert.com>; CA/Browser Forum Governance WG List <govreform@cabforum.org>; Kirk Hall <Kirk.Hall@entrustdatacard.com>; Dimitris Zacharopoulos <jimmy@it.auth.gr>; Virginia Fournier <vfournier@apple.com><br><b>Subject:</b> Re: [cabf_governance] [EXTERNAL]Re: Two topics for next Governance Change WG meeting<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-family:"Georgia",serif;color:windowtext'>I don’t know that we’d even have to expand things unless some new class of audit became available. Currently, the requirement is a valid WebTrust for CAs audit (not the SSL Baseline audit, a plain-vanilla WebTrust) or its ETSI equivalent which, as Dimitris points out, is a flexible enough audit standard to apply to just about any kind of certificate producer. We have WebTrust audits around a couple of our device identity CAs producing IEEE 802.13AR SUDI certs, so it’s a pretty flexible standard. I would also say that—especially with the latest update and with a good auditor—it’s a good baseline for the professional operation of any sort of CA, so it makes a reasonable prerequisite for overall Forum membership.<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Georgia",serif;color:windowtext'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-family:"Georgia",serif;color:windowtext'>Beyond that, the Forum rules require that the CA’s certificates be considered valid “by a Certificate Consumer Member”, which is where we might run into a bit of an issue with new, odd certificate types. If we wanted to stand up a working group for a new type of cert not currently handled by any of the current Certificate Consumer Members, we would need to add at least one Certificate Consumer Member to the new working group first, or else no one who wasn’t already a member for something else could join. That’s a pretty specific error case though, so I think we’d be OK to continue with the current rules as they stand.<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Georgia",serif;color:windowtext'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-family:"Georgia",serif;color:windowtext'>            --Jos<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Georgia",serif;color:windowtext'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:9.0pt;font-family:Consolas'>-- <br>Jos Purvis (<a href="mailto:jopurvis@cisco.com">jopurvis@cisco.com</a>)<br>.:|:.:|:. cisco systems  | Cryptographic Services<br>PGP: 0xFD802FEE07D19105  | +1 919.991.9114 (desk)</span><span style='color:windowtext'><o:p></o:p></span></p></div><p class=MsoNormal><span style='font-family:"Georgia",serif;color:windowtext'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-family:"Georgia",serif;color:windowtext'><o:p> </o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:12.0pt'>From: </span></b><span style='font-size:12.0pt'>Govreform <<a href="mailto:govreform-bounces@cabforum.org">govreform-bounces@cabforum.org</a>> on behalf of CA/BF Governance Reform List <<a href="mailto:govreform@cabforum.org">govreform@cabforum.org</a>><br><b>Reply-To: </b>Tim Hollebeek <<a href="mailto:tim.hollebeek@digicert.com">tim.hollebeek@digicert.com</a>>, CA/BF Governance Reform List <<a href="mailto:govreform@cabforum.org">govreform@cabforum.org</a>><br><b>Date: </b>Friday, 31 August, 2018 at 15:14 <br><b>To: </b>Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com">Kirk.Hall@entrustdatacard.com</a>>, Dimitris Zacharopoulos <<a href="mailto:jimmy@it.auth.gr">jimmy@it.auth.gr</a>>, CA/BF Governance Reform List <<a href="mailto:govreform@cabforum.org">govreform@cabforum.org</a>>, Virginia Fournier <<a href="mailto:vfournier@apple.com">vfournier@apple.com</a>><br><b>Subject: </b>Re: [cabf_governance] [EXTERNAL]Re: Two topics for next Governance Change WG meeting<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='color:windowtext'><o:p> </o:p></span></p></div><p class=MsoNormal><span style='color:windowtext'>Well, the Forum membership being the union of the Working Group memberships was certainly the intent from the very beginning of the governance reform effort, so we should probably try to preserve that when creating new WGs.</span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'>I think it’s more likely that the list of acceptable audits will expand, rather than having WGs that allow unaudited CAs.  For example, I don’t have a hard time imagining adding “WebTrust for S/MIME” as an acceptable audit standard at the forum level, if it existed and we were adding a S/MIME WG that required it for Certificate Issuers.  Also, WebTrust audits are sometimes relied upon for non-TLS stuff, just because of the lack of alternative mature audit schemes.  So a non-TLS WG might very well require WebTrust or equivalent for its Certificate Issuers.</span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'>It’s also possible to change the Forum level audits to be generic CA/TSP audits, with audits for more specific use cases required for membership in various WGs (this would require fewer Bylaw changes as WGs are added).  I believe the ETSI audit standards are already set up to support such a scheme.</span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'>-Tim</span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='color:windowtext'>From:</span></b><span style='color:windowtext'> Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com">Kirk.Hall@entrustdatacard.com</a>> <br><b>Sent:</b> Friday, August 31, 2018 6:09 PM<br><b>To:</b> Tim Hollebeek <<a href="mailto:tim.hollebeek@digicert.com">tim.hollebeek@digicert.com</a>>; Dimitris Zacharopoulos <<a href="mailto:jimmy@it.auth.gr">jimmy@it.auth.gr</a>>; CA/Browser Forum Governance WG List <<a href="mailto:govreform@cabforum.org">govreform@cabforum.org</a>>; Virginia Fournier <<a href="mailto:vfournier@apple.com">vfournier@apple.com</a>><br><b>Subject:</b> RE: [cabf_governance] [EXTERNAL]Re: Two topics for next Governance Change WG meeting</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'>In the end, I’m happy to wait until we create new WGs to see if we need to make changes to the Bylaws on who is a member of the Forum.  </span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'>If it turns out that 100% of cert issuing parties who join the new WGs must have the WebTrust and ETSI audits listed in Bylaw 2.1, then I guess there is no problem – but I’m not convinced that will be the case.  And I have heard several people say that “everyone who is on a WG will automatically be a member of the Forum”, and I’m not convinced that will be the case.  If there is a WG that does NOT require the listed WebTrust and ETSI audits, then the Cert Issuers and Cert Consumers on that WG will not be eligible to be members of the Forum or vote on Forum matters.</span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'>But we can wait to see. </span><o:p></o:p></p><p class=MsoNormal><span style='color:#1F497D'> </span><o:p></o:p></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='color:windowtext'>From:</span></b><span style='color:windowtext'> Tim Hollebeek [<a href="mailto:tim.hollebeek@digicert.com">mailto:tim.hollebeek@digicert.com</a>] <br><b>Sent:</b> Friday, August 31, 2018 2:06 AM<br><b>To:</b> Dimitris Zacharopoulos <<a href="mailto:jimmy@it.auth.gr">jimmy@it.auth.gr</a>>; CA/Browser Forum Governance WG List <<a href="mailto:govreform@cabforum.org">govreform@cabforum.org</a>>; Virginia Fournier <<a href="mailto:vfournier@apple.com">vfournier@apple.com</a>>; Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com">Kirk.Hall@entrustdatacard.com</a>><br><b>Subject:</b> RE: [cabf_governance] [EXTERNAL]Re: Two topics for next Governance Change WG meeting</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'>I agree with Dimitris.  The requirement to have an audit in order to be a Certificate Issuer was intentional, and WebTrust/ETSI are the audits that we currently recognize.  We discussed that issue several times during the governance reform process.</span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'>Whether a Certificate Issuer issues TLS certificates or not is not relevant at the Forum level.  I really wish that people who didn’t participate in the Governance Reform working group wouldn’t keep suggesting novel interpretations of the Bylaws that have no basis in the text of the Bylaws.</span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'>A CA that has a WebTrust or ETSI audit, and participates in a future hypothetical CWG, but does not issue TLS certificates, is clearly a Certificate Issuer at the Forum level with current Bylaws, since the Bylaws only reference issuing end-entity certificates, not TLS certificates.</span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'>-Tim</span><o:p></o:p></p><p class=MsoNormal><span style='color:windowtext'> </span><o:p></o:p></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='color:windowtext'>From:</span></b><span style='color:windowtext'> Govreform <<a href="mailto:govreform-bounces@cabforum.org">govreform-bounces@cabforum.org</a>> <b>On Behalf Of </b>Dimitris Zacharopoulos via Govreform<br><b>Sent:</b> Friday, August 31, 2018 9:50 AM<br><b>To:</b> Virginia Fournier <<a href="mailto:vfournier@apple.com">vfournier@apple.com</a>>; CA/Browser Forum Governance WG List <<a href="mailto:govreform@cabforum.org">govreform@cabforum.org</a>>; Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com">Kirk.Hall@entrustdatacard.com</a>><br><b>Subject:</b> Re: [cabf_governance] [EXTERNAL]Re: Two topics for next Governance Change WG meeting</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><div><p class=MsoNormal>On 31/8/2018 2:25 πμ, Virginia Fournier via Govreform wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p class=MsoNormal>This will need more discussion.  We’ll need everyone to be members at the Forum (not SCWG) level so they’ll be bound by the Bylaws, IPR Policy, etc. <o:p></o:p></p><div><div><div><div><div><div><div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>Best regards,</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>Virginia Fournier</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>Senior Standards Counsel</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:#717171'></span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> Apple Inc.</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Segoe UI Symbol",sans-serif'>☏</span><span class=apple-converted-space><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span></span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>669-227-9595</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Segoe UI Emoji",sans-serif;color:#0433FF'>✉</span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:#0433FF'>︎</span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> <a href="mailto:vmf@apple.com">vmf@apple.com</a></span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:#579DFF'> </span><o:p></o:p></p></div></div></div></div></div></div></div></div><p class=MsoNormal> <o:p></o:p></p></div><div><p class=MsoNormal> <o:p></o:p></p><div><p class=MsoNormal>On Aug 30, 2018, at 2:43 PM, Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com">Kirk.Hall@entrustdatacard.com</a>> wrote:<o:p></o:p></p></div><p class=MsoNormal> <o:p></o:p></p><div><div><p class=MsoNormal><span style='color:#1F497D'>Virginia – our current Bylaws restrict certificate issuers to entities with WebTrust for CA or similar ETSI audits that issue certificates, and certificate consumers that rely on certificates.  Based on that working, I think only CAs that issue SSL/TLS server certificates (with WT or ETSI audits) and browsers that rely on SSL/TLS server certificates qualify.  We could have a new IoT Device Working Group, S/MIME Certificate Working Group, or other new WGs where the “CA” members don’t have WebTrust/ETSI audits, and their “browser” members may not require such audits.  So they wouldn’t be CABF Members under our current Bylaws.  I think we need a change in the Bylaws if the intention was that all WG members were automatically Forum members with a vote.</span><o:p></o:p></p></div></div></div></blockquote><p class=MsoNormal><br>Kirk, this is not an entirely accurate description of ETSI or WT, as far as I understand.<br><br>The certifications called out in 2.1(a) are not limited to SSL/TLS server certificates. They may be used for "Certificate Issuers" that issue S/MIME, Code Signing, Digital Signature Certificates, Client Authentication and others. I don't think we need to make any amendments on the "Certificate Issuer" part, except for the improvement regarding the audit criteria versions that we've already discussed and is pending to enter a ballot.<br><br>The description of "Certificate Consumers" is also inclusive for non-browser members, as long as they produce a software product intended for use by the general public for relying upon certificates. The only controversial spot that might be worth discussing is 2.2(a)- items 2 and 3: <br><br>"A Certificate Consumer Member's membership will automatically cease if any of the following become true:<o:p></o:p></p><ol start=1 type=1><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo3'>it is not a member of any CWG;<o:p></o:p></li><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo3'>it stops providing updates for its membership-qualifying software product;<o:p></o:p></li><li class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo3'>six months have elapsed since the last such published update."<o:p></o:p></li></ol><p class=MsoNormal style='margin-bottom:12.0pt'>There might be Certificate Consumers in certain business areas that don't update their software product every six months.<br><br><br>Dimitris.<o:p></o:p></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><div><p class=MsoNormal><span style='color:#1F497D'> </span><o:p></o:p></p></div><div><div style='border:none;border-top:solid windowtext 1.0pt;padding:3.0pt 0in 0in 0in;border-top-color:rgb(225, 225,                 225)'><div><p class=MsoNormal><b>From:</b><span class=apple-converted-space> </span><a href="mailto:vfournier@apple.com">vfournier@apple.com</a> [<a href="mailto:vfournier@apple.com">mailto:vfournier@apple.com</a>]<span class=apple-converted-space> </span><br><b>Sent:</b><span class=apple-converted-space> </span>Thursday, August 30, 2018 11:55 AM<br><b>To:</b><span class=apple-converted-space> </span>Ryan Sleevi <<a href="mailto:sleevi@google.com">sleevi@google.com</a>>; Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com">Kirk.Hall@entrustdatacard.com</a>><br><b>Cc:</b><span class=apple-converted-space> </span>CA/Browser Forum Governance WG List <<a href="mailto:govreform@cabforum.org">govreform@cabforum.org</a>><br><b>Subject:</b><span class=apple-converted-space> </span>[EXTERNAL]Re: [cabf_governance] Two topics for next Governance Change WG meeting<o:p></o:p></p></div></div></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman",serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman",serif'> </span><o:p></o:p></p></div><div><div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman",serif'>On Aug 30, 2018, at 7:28 AM, Ryan Sleevi via Govreform <<a href="mailto:govreform@cabforum.org"><span style='color:purple'>govreform@cabforum.org</span></a>> wrote:</span><o:p></o:p></p></div></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman",serif'> </span><o:p></o:p></p></div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p><div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>On Thu, Aug 30, 2018 at 9:36 AM Kirk Hall via Govreform <<a href="mailto:govreform@cabforum.org"><span style='color:purple'>govreform@cabforum.org</span></a>> wrote:</span><o:p></o:p></p></div></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt'><div><div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>Here are two issues for the Governance WG to discuss:</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>1. Move forward with Ballot Forum-2 – extending terms of CABF Chair and Vice Chair</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>2.  Consider revising Bylaw 2.1 (Forum Membership requirements) and Bylaw 2.3(f) (voting rules).  As I understand it, the intent was that ALL members of ALL new Working Groups would automatically be Members of the Forum, and ALL would have an equal vote on votes at the Forum level.  Is that correct?</span><o:p></o:p></p></div></div></div></blockquote><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>I don't believe so.</span><o:p></o:p></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>VMF:  All members of all WGs will also be members of the Forum.  There was no intent to change the voting structure.  There are still the Certificate Issuers/Certificate Consumers categories, with the same approval thresholds.</span><o:p></o:p></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt'><div><div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>That’s not how Bylaws 2.1 and 2.3 read – they only allow CAs and Browsers to be Forum members, and they still show voting at the Forum level limited to CAs and Browsers (2/3 vote, 51% vote).  We did move these same rules to the SCWG level – that makes sense – but if we create new WGs with non-CA/non-browser members, they won’t be able to participate at the Forum level.</span><o:p></o:p></p></div></div></div></blockquote><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>Well, browsers, mail clients, other certificate consumers. It's a broader category than just the SCWG's notion of browser.</span><o:p></o:p></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>VMF:  Each WG can set its own voting rules in its charter.  This in no way affects the voting structure at the Forum level.  </span><o:p></o:p></p></div></div><div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'> </span><o:p></o:p></p></div></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt'><div><div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>So we should (a) change those Bylaws at the Forum level (“any Member of a WG is automatically a Member of the Forum, and all votes equal at the Forum level), and also (b) add the current voting rules to the SCWG charter (there are no voting rules there).</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>VMF:  No, this is not what was intended.</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>******</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'> </span><o:p></o:p></p></div><p class=m-4902667852659881194msoplaintext><b><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>Bylaw 2.1 Qualifying for Forum Membership</span></b><o:p></o:p></p><p class=m-4902667852659881194msoplaintext><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>(a) All Forum members must participate in at least one CWG (as defined in Section 5.3.1 below), and meet at least one of the following criteria:</span><o:p></o:p></p><p class=m-4902667852659881194msoplaintext><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>(1) Certificate Issuer: The member organization operates a certification authority that has a current and successful WebTrust for CAs audit or ETSI EN 319 411-1 or ETSI TS 102 042 or ETSI TS 101 456 audit report prepared by a properly-qualified auditor, is a member of a CWG, and that actively issues certificates to end entities, such certificates being treated as valid by a Certificate Consumer Member. Applicants that are not actively issuing certificates but otherwise meet membership criteria may be granted Associate Member status under Bylaw Sec. 3.1 for a period of time to be designated by the Forum.</span><o:p></o:p></p><p class=m-4902667852659881194msoplaintext><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>(2) Root Certificate Issuer: The member organization operates a certification authority that has a current and successful WebTrust for CAs, or ETSI EN 319 411-1102042 or ETSI TS 102</span><o:p></o:p></p><p class=m-4902667852659881194msoplaintext><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>042 or ETSI TS 101 456 audit report prepared by a properly-qualified auditor, is a member of a CWG, and that issues certificates to subordinate CAs that, in turn, actively issue certificates to end entities such certificates being treated as valid by a Certificate Consumer Member. Applicants that are not actively issuing certificates but otherwise meet membership criteria may be granted Associate Member status under Bylaw Section 3.1 for a period of time to be designated by the Forum.</span><o:p></o:p></p><p class=m-4902667852659881194msoplaintext><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>(3) Certificate Consumer: The member organization produces a software product, such as a browser, intended for use by the general public for relying upon certificates and is a member of a CWG.</span><o:p></o:p></p><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><b><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>2.3 General Provisions Applicable to all Ballots</span></b><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>The following rules will apply to all ballots, including Draft Guideline Ballots (defined in Section 2.4).</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>(f) Members fall into two categories: Certificate Issuers (including Certificate Issuers and Root</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>Certificate Issuers), as defined in Section 2.1(a)(1) and (2) and Certificate Consumers (as</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>defined in Section 2.1(a)(3)). In order for a ballot to be adopted by the Forum, two-thirds or more</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>of the votes cast by the Members in the Certificate Issuer category must be in favor of the ballot,</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>and at least 50% plus one of the votes cast by the Members in the Certificate Consumer</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>category must be in favor of the ballot. At least one Member in each category must vote in favor</span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-size:12.0pt;font-family:"Times New Roman , serif;",serif'>of a ballot for the ballot to be adopted.</span><o:p></o:p></p></div></div></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>_______________________________________________<br>Govreform mailing list<br><a href="mailto:Govreform@cabforum.org" target="_blank"><span style='color:purple'>Govreform@cabforum.org</span></a><br><a href="https://clicktime.symantec.com/a/1/x2V14vuxFf4U7afxkxUhdqk6zCYihKtAb2LImiO7Lw4=?d=xcgyyC14mSAlpRAdUB9NsOuH2PTXiCGfTiHSiCboWdPHa2gAKxkZOehcQbStpmZJz_xtP5SxNskhgBdaSNGhSWVi5excxGAL4jwwfIBjixLRcC1OQXYmGVtNELrK4HWK5y0RpZqAQL2KrFAFkckoh4pE6z3Tg8oVY_a1faZaiuoIU1CD-ZOrdQq7DqMViTiuNsH8nMidcL773oXLue-VvC73Egi9bYdrnTzbaS7fyp0KaNQivjCL4tmsqjO6FK8ANNE31iQz7Ukew4Wjpcx4dJv63pI4iXt1eQ8LapjhBtPqAOxptas5uqbAFTJYljPLSnzGJuzSiZkwCy5VxkeHakjHcD6dcJiFgDhpt-NLhTjq8eSK7mJiTiPb8goYcIojOprRZNl6ZcRa8YfDl_DMrAFnJNfIAMUxVY9Du0WLy6E21hdYiNqrBTsnNroegOpqZhe_G6DACB4%3D&u=https%3A%2F%2Fcabforum.org%2Fmailman%2Flistinfo%2Fgovreform" target="_blank"><span style='color:purple'>https://cabforum.org/mailman/listinfo/govreform</span></a></span><o:p></o:p></p></div></blockquote></div></div><div><p class=MsoNormal><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'>_______________________________________________<br>Govreform mailing list<br></span><span style='font-size:12.0pt;font-family:"Times New Roman",serif'><a href="mailto:Govreform@cabforum.org"><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:purple'>Govreform@cabforum.org</span></a></span><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif'><br></span><span style='font-size:12.0pt;font-family:"Times New Roman",serif'><a href="https://clicktime.symantec.com/a/1/x2V14vuxFf4U7afxkxUhdqk6zCYihKtAb2LImiO7Lw4=?d=xcgyyC14mSAlpRAdUB9NsOuH2PTXiCGfTiHSiCboWdPHa2gAKxkZOehcQbStpmZJz_xtP5SxNskhgBdaSNGhSWVi5excxGAL4jwwfIBjixLRcC1OQXYmGVtNELrK4HWK5y0RpZqAQL2KrFAFkckoh4pE6z3Tg8oVY_a1faZaiuoIU1CD-ZOrdQq7DqMViTiuNsH8nMidcL773oXLue-VvC73Egi9bYdrnTzbaS7fyp0KaNQivjCL4tmsqjO6FK8ANNE31iQz7Ukew4Wjpcx4dJv63pI4iXt1eQ8LapjhBtPqAOxptas5uqbAFTJYljPLSnzGJuzSiZkwCy5VxkeHakjHcD6dcJiFgDhpt-NLhTjq8eSK7mJiTiPb8goYcIojOprRZNl6ZcRa8YfDl_DMrAFnJNfIAMUxVY9Du0WLy6E21hdYiNqrBTsnNroegOpqZhe_G6DACB4%3D&u=https%3A%2F%2Fcabforum.org%2Fmailman%2Flistinfo%2Fgovreform"><span style='font-size:10.5pt;font-family:"Helvetica",sans-serif;color:purple'>https://cabforum.org/mailman/listinfo/govreform</span></a></span><o:p></o:p></p></div></div></div></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><br><br><o:p></o:p></p><pre>_______________________________________________<o:p></o:p></pre><pre>Govreform mailing list<o:p></o:p></pre><pre><a href="mailto:Govreform@cabforum.org">Govreform@cabforum.org</a><o:p></o:p></pre><pre><a href="https://clicktime.symantec.com/a/1/x2V14vuxFf4U7afxkxUhdqk6zCYihKtAb2LImiO7Lw4=?d=xcgyyC14mSAlpRAdUB9NsOuH2PTXiCGfTiHSiCboWdPHa2gAKxkZOehcQbStpmZJz_xtP5SxNskhgBdaSNGhSWVi5excxGAL4jwwfIBjixLRcC1OQXYmGVtNELrK4HWK5y0RpZqAQL2KrFAFkckoh4pE6z3Tg8oVY_a1faZaiuoIU1CD-ZOrdQq7DqMViTiuNsH8nMidcL773oXLue-VvC73Egi9bYdrnTzbaS7fyp0KaNQivjCL4tmsqjO6FK8ANNE31iQz7Ukew4Wjpcx4dJv63pI4iXt1eQ8LapjhBtPqAOxptas5uqbAFTJYljPLSnzGJuzSiZkwCy5VxkeHakjHcD6dcJiFgDhpt-NLhTjq8eSK7mJiTiPb8goYcIojOprRZNl6ZcRa8YfDl_DMrAFnJNfIAMUxVY9Du0WLy6E21hdYiNqrBTsnNroegOpqZhe_G6DACB4%3D&u=https%3A%2F%2Fcabforum.org%2Fmailman%2Flistinfo%2Fgovreform">https://cabforum.org/mailman/listinfo/govreform</a><o:p></o:p></pre></blockquote><p class=MsoNormal> <o:p></o:p></p></div></div></div></body></html>