Skip to Content.
Sympa Menu

cacert-policy - RE: [CAcert-Policy] Policy RFC ( Was: [Fwd: OFF-LIST! Re: [CAcert-Support] [website form email]: Trusted Third Party])

Subject: Policy-Discussion

List archive

RE: [CAcert-Policy] Policy RFC ( Was: [Fwd: OFF-LIST! Re: [CAcert-Support] [website form email]: Trusted Third Party])

Chronological Thread 
  • From: "Peter Williams" <home_pw AT>
  • To: "'Policy-Discussion'" <cacert-policy AT>
  • Subject: RE: [CAcert-Policy] Policy RFC ( Was: [Fwd: OFF-LIST! Re: [CAcert-Support] [website form email]: Trusted Third Party])
  • Date: Sun, 29 May 2005 19:41:22 -0700
  • List-archive: <>
  • List-id: Policy-Discussion <>

>From the tone and orientation of several posts, I had wondered if the
underlying policy practiced by CACert stakeholders is actually one that fits
the "manufacturing doctrine"

A (licensed) manufacturer of certs (aka an operator of an ISSUING AUTHORITY)
creates and records certs, for CAs. In this model, states would have
regulated manufacturers, rather than CAs, to attain minimum assurance
standards for: OPERATION of the issuing system technologies, (b) financial
responsibility, (c) contract forms likely to induce equivalency of digital
and traditional signature products, (d) maintain notarial-grade records.
Thus IAs, CAs, and RA exist - in a model that fit nicely onto the regulation
of notarys.

In many ways, CACert is a manufacturer, and the CACert RAs (known as TTPs, I
believe) are behaving as CAs. This inverted assurance model was the
antithesis of the VeriSign model, and represented a direct threat to a
(legal) monopoly-centered business. (The thesis of the VeriSign venture
depended (and probably still depends) on preventing disintermediation of any
value point.)

If one looks back through the various (US) state laws design in the 1995
period, there was a spectrum of model designs. Most died an early death.
This was variously due to the power of VeriSign legal marketing dept, an
unholy alliance with the US delegation in UNCITRAL, the power of the US
Federal government to pass a uniform digital signature act, usurping State
powers; and the willingness of certain US agencies (with a desire/need to
maintain messaging interception capability under CALEA) to value a single,
huge centralized service provider.

Being a non-profit working 10 years afte the VeriSign design effort, CACert
might benefit from specifically advancing a non-VeriSign controlled legal
model. To get a feeling for the variety of well-worked legal models actually
available, perhaps read the rest of the article quoted and cited below:

"Stimulated by the development of the American Bar Association Digital
Signature Guidelines,   [1]     electronic signature legislation began with
the Utah Digital Signature Act,   [2]     which was enacted in 1995 and
focused solely on issues raised by cryptography-based digital signatures.
Soon thereafter, legislation was introduced in several other states. Yet,
the second state to introduce such legislation, California, quickly changed
its direction by adopting a very minimalist and technology-neutral approach
limited to transactions with state government agencies.   [3]     Subsequent
legislation rapidly migrated from technology-specific statutes focused on
digital signatures to technology-neutral statutes that focused generally on
all types of electronic signatures."

> -----Original Message-----
> From: 
> cacert-policy-bounces AT
>  [mailto:cacert-policy-
> bounces AT]
>  On Behalf Of Evaldo Gardenali
> Sent: Wednesday, May 25, 2005 9:22 PM
> To: CAcert Policy-Discussion
> Subject: [CAcert-Policy] Policy RFC ( Was: [Fwd: OFF-LIST! Re: [CAcert-
> Support] [website form email]: Trusted Third Party])
> Hi
> I just thought in a nice addition to our assurance policy, and submit it
> as a request for comments here :)
> In case CAcert assures a "trusted" organization, we could establish an
> "assurance agreement" or something like that, so that these institution
> can offer easy access to CAcert assurances to the public at large.
> It is worthy to note that most banks have at least two managers per
> site, meaning that TTP *is* a viable option, but maybe too complicated
> if it is going to happen "en mass". I was thinking more like a "WoT"
> form, without requiring them to mail documents to CAcert, but under
> special conditions, giving 150 points, for example, directly.
> Of course, an ideal way would be to establish an "assurance agreement"
> contract, because we are delegating "super-assurer" status to an
> organization in a long-term basis.
> So, as an RFC, we need comments, I think :)
> Cya
> Evaldo
> Duane wrote:
> > CAcert Website wrote:
> >
> >
> >>My company has just joined CAcert and am attempting to document who we
> are.  We are Oak Hill Banks, a regional bank that covers the southern part
> of the state of Ohio in the US.  I have sent emails to a few Assurers to
> establish who we are, but wonder if there is some way that we can
> establish our identity directly to CAcert.  We would be able to validate
> other users in a large area of this state as we have identification
> measures that are not available to other people.  Please advise.
> >
> >
> > Since you are a bank it's kind of very easy, we have a trusted third
> > party system to have ID information checked/verified and sent into us,
> > and one of the requirements allows bank managers to do the ID checks.
> >
> >
> >

Archive powered by MHonArc 2.6.16.

Top of Page