Skip to Content.
Sympa Menu

cacert-policy - RE: [CAcert-Policy] Propose Study Group for legal issues

Subject: Policy-Discussion

List archive

RE: [CAcert-Policy] Propose Study Group for legal issues


Chronological Thread 
  • From: "Peter Williams" <home_pw AT msn.com>
  • To: "'Policy-Discussion'" <cacert-policy AT lists.cacert.org>
  • Subject: RE: [CAcert-Policy] Propose Study Group for legal issues
  • Date: Mon, 23 May 2005 16:52:12 -0700
  • List-archive: <http://lists.cacert.org/cgi-bin/mailman/private/cacert-policy>
  • List-id: Policy-Discussion <cacert-policy.lists.cacert.org>

So, if I read between the lines, we already have an auditor! 

Can someone point me to the audit criteria that are to be applied, and the
attestation standards? 

MS will not accept the credentials of just any old auditor, using any old
criteria. They have to be Webtrust-equivalent, and the general process has
to satisfy the standards of an AICPA-sanctioned attestation, by a licensed
CPA. If the auditor is not a CPA, forget it.

Get a BS 7799 certification, for example, and MS will not accept it. Get a
Webtrust-for-high-availability-websites audit result, MS will not accept it.

Essentially, in the commercial arena, you have to do WebTrust-for-CAs, as
audited by a specially licensed and credentialed Webtrust auditor - or, use
a similar audit process in a non US state/territory/ally/proxy whose AICPA
equivalent body has essentially signed a cross-recognition agreement with
AICPA.

I don’t know what standards compliance Opera and the Mozilla organizations
are requiring, before accepting a root key into their public root key
stores. I do know Microsoft, IBM, Novell, Lotus, etc are "real serious"
about this whole process - if supporting these banking and merchant grade
platforms really matters to this group.

Peter.

> -----Original Message-----
> From: 
> cacert-policy-bounces AT lists.cacert.org
>  [mailto:cacert-policy-
> bounces AT lists.cacert.org]
>  On Behalf Of Alaric Dailey
> Sent: Monday, May 23, 2005 9:31 AM
> To: Policy-Discussion
> Subject: Re: [CAcert-Policy] Propose Study Group for legal issues
> 
> Philipp Gühring wrote:
> 
> >Hi,
> >
> >
> >
> >>Just like software development, the sooner the problem is discovered and
> >>fixed correctly, the less stuff has to be changed in the long run.
> >>
> >>
> >
> >Sure. But I don´t see many things that have to be fixed, most of the
> issues
> >are either not our own problem, or necessary enhancements.
> >
> >
> >
> >>If we suppose for a second that the document I just read covering
> >>"Personal Identity Verification for Federal Employees and Contractors"
> >>for the US government was the stricted document for the identification
> >>of people in world.  Then one of the many things we would need to change
> >>is the size of the root certificate for CACert, current its at 4096, and
> >>that document specifies a 2048 bit cert. IF we get our current
> >>certificate in the browsers and then have to issue  a different
> >>certificate to follow such specs, then we either start all over, or
> >>create a new problem with having to use a subordinate CA.
> >>
> >>
> >
> >That falls under the category of others that have to fix it. I don´t see
> a
> >good reason that we should lower our security because of their
> specification.
> >We already had the same Problem with Java until Java 1.4, that it only
> could
> >work with weaker keys. It was fixed in Java 1.5 now.
> >So please go an tell them to fix their specification.
> >Or give us good reasons, why it makes sense for us to have lower
> security.
> >
> >
> >
> This was only an example, thus I prefaced it with "If we suppose for a
> second".
> 
> 
> >>Solve the issues before they become a problems, and the sooner, the
> >>better.  Fix them correctly, rather than trying to band-aid them.
> >>
> >>
> >
> >Yes, all together have to fix the issues, not band-aid them by using less
> >secure systems.
> >
> >
> >
> >>I am hoping that we some of the people I have seen posting "I want to
> >>help with legal issues" will volunteer, as a matter of fact this
> >>original poster that I was responding to looked (to me anyway) to be
> >>offering such help.
> >>
> >>
> >
> >Perhaps I have been blind, could you please show me the people again who
> said
> >that they want to help with legal issues?
> >
> >
> >
> I will peruse the mail list archive to find the emails I am remembering,
> and follow up, due to time constraints it may be a day or 2, if I do not
> find them I will follow up with a message stating that I made a mistake.
> 
> 
> >>>>For example, I happen to know that our "Certificate Policy
> >>>>Statement" is in dire need of legal review ( I am not even sure if its
> >>>>posted on the site).
> >>>>
> >>>>
> >>>http://www2.futureware.at/svn/sourcerer/CAcert/policy.htm
> >>>
> >>>
> >>Thats not on the CACert.org site, and I havent found a link to that
> >>anywhere on the cacert.org site (not saying that there isn't such a
> >>link, just that I haven't found it).
> >>
> >>
> >
> >The policy isn´t officially approved by the board yet.
> >(We are currently working on the wanted changes from the auditor, so I
> think
> >the board waits for that work to be finished, so that the Policy is
> auditor
> >compliant, and we do not have to change it again then.)
> >
> >Regards,
> >Philipp Gühring
> >
> >_______________________________________________
> >Have you subscribed to our RSS News Feed yet?
> >
> >CAcert-Policy mailing list
> >CAcert-Policy AT lists.cacert.org
> >http://lists.cacert.org/cgi-bin/mailman/listinfo/cacert-policy
> >
> >
> >





Archive powered by MHonArc 2.6.16.

Top of Page