<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jul 16, 2014 at 2:18 AM, Dave Horsfall <span dir="ltr"><<a href="mailto:dave@horsfall.org" target="_blank">dave@horsfall.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 16 Jul 2014, Peter Gutmann wrote:<br>
<br>
> It's the ISO 9000 of security measures, keep doing what we've always<br>
> done but now there's a Documented Procedure in the Quality Manual for<br>
> it.<br>
<br>
I actually did an ISO-9000 course.  Waste of time.  As you hinted, your<br>
goal could be to make the worst product of all time, and provided that it<br>
was documented thus (and you strived to make it thus), you too could be<br>
ISO certified.<br></blockquote><div><br></div><div>ISO-9000 is really a standard for auditing a manufacturing process. The purpose is to enable an astute and knowledgable customer to outsource manufacturing. You still have to read the process descriptions that were audited. Only those are often trade secrets(!)</div>
<div><br></div><div>It is the same with PKI. You can indeed write a CPS that says 'we give any certificate to anyone who asks' and you will be fully compliant with the IETF RFCs. You would not however be compliant with the CABForum Certificate Policy requirements and your applications to get your root included would likely be rejected.</div>
<div><br></div><div><br></div><div>BTW, the other thing ISO 9000 is really good for is documenting a manufacturing process before shipping the jobs offshore.</div><div><br></div></div></div></div>