
<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <div class="moz-text-html" lang="x-unicode">

      <div dir="ltr">

        <div dir="ltr">This begins the discussion period for Ballot

          SC20v2: Configuration Management</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">Purpose of Ballot:<br>

        </div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">Two sections of the current NSRs contain

          requirements for configuration management. Section 1(h)

          demands a weekly review and Section 3(a) a process to monitor,

          detect and report on security-related configuration changes.</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">There was consensus in the discussions of the

          Network Security Subgroup that unauthorized or unintentional

          configuration changes can introduce high security risks but

          the current wording allows CAs to comply with s1(h) without

          noticing such a change for several days. Whether the weekly

          human reviews have to be performed every 7 days or just once

          per week is a matter of interpretation but for the discussion

          of our proposal this is immaterial. The change we are

          proposing seeks to encourage CAs to rely on continuous

          monitoring rather than human reviews because alerts created by

          a continuous monitoring solution can notify a CA by orders of

          magnitude earlier than a human review i.e. within minutes not

          within days.</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">More detailed discussions and considerations can

          be found in this document, maintained by the NetSec Subgroup:

          <a

href="https://docs.google.com/document/d/1yyadZ1Ts3bbR0ujAB1ZOcIrzP9q4Un7dPzl3HD9QuCo">https://docs.google.com/document/d/1yyadZ1Ts3bbR0ujAB1ZOcIrzP9q4Un7dPzl3HD9QuCo</a></div>

        <div dir="ltr"><br>

          The following motion has been proposed by Neil Dunbar of

          TrustCor and endorsed by Tobias Josefowitz of OPERA and Dustin

          Hollenback of Microsoft. The original version of this ballot

          was produced by Ben Wilson of Digicert.<br>

        </div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">--- MOTION BEGINS ---</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">This ballot modifies the “Network and Certificate

          System Security Requirements” based on Version 1.3. A redline

          against the CA/B Forum repository is found here: <br>

        </div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">

          <p dir="ltr"

            style="line-height:1.38;margin-top:0pt;margin-bottom:10pt;"><a

href="https://github.com/cabforum/documents/compare/16a5a9b...neildunbar:108e555?diff=split"

              style="text-decoration:none;">https://github.com/cabforum/documents/compare/16a5a9b...neildunbar:108e555?diff=split</a></p>

        </div>

        <div dir="ltr">(Each CA or Delegated Third Party SHALL)<br>

          (...)</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">Insert as new Section 1(h):</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">Ensure that the CA’s security policies encompass

          a Change Management Process, following the principles of

          documentation, approval and testing, and to ensure that all

          changes to Certificate Systems, Issuing Systems, Certificate

          Management Systems, Security Support Systems, and Front-End /

          Internal-Support Systems follow said Change Management

          Process;</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">Remove from Section 3(a):<br>

        </div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">Implement a Security Support System under the

          control of CA or Delegated Third Party Trusted Roles that

          monitors, detects, and reports any security-related

          configuration change to Certificate Systems;</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">Insert as new Section 3(a):</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">Implement a System under the control of CA or

          Delegated Third Party that continuously monitors, detects, and

          alerts personnel to any configuration change to Certificate

          Systems, Issuing Systems, Certificate Management Systems,

          Security Support Systems, and Front-End / Internal-Support

          Systems unless the change has been authorized through a change

          management process.  The CA or Delegated Third Party  shall

          respond to the alert and initiate a plan of action within at

          most twenty-four (24) hours.</div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">--- MOTION ENDS ---<br>

        </div>

        <div dir="ltr"><br>

        </div>

        <div dir="ltr">This ballot proposes a Final Maintenance

          Guideline.<br>

          <br>

          The procedure for approval of this ballot is as follows:<br>

          <br>

          Discussion (7+ days)<br>

          <br>

          Start Time: 28-January 2020 00:00 UTC<br>

          <br>

          End Time: No earlier than 03-February 2020 00:00 UTC<br>

          <br>

          Vote for approval (7 days)<br>

          <br>

          Start Time: TBD<br>

          <br>

          End Time: TBD

        </div>

      </div>

    </div>

  </body>

</html>