<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Also, on dates, I tried to align them, but then noticed at the end that the Timestamp Token date is in 2022, not 2021.  Assuming that’s intended, it sounds like the current proposals are:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>RSA-3072                           June 1, 2021<o:p></o:p></p><p class=MsoNormal>TS Toks (SHA-1)                April 30, 2022<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Once I have two endorsers, I’ll post an actual ballot with those dates.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>-Tim<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b>From:</b> Ian McMillan <ianmcm@microsoft.com> <br><b>Sent:</b> Friday, September 18, 2020 3:36 PM<br><b>To:</b> Tim Hollebeek <tim.hollebeek@digicert.com>; Dean Coclin <dean.coclin@digicert.com>; cscwg-public@cabforum.org<br><b>Subject:</b> RE: [Cscwg-public] Timestamp Tokens (Appendix A [3]) - SHA1 digest for Authenticode TS<o:p></o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thank you Tim! That would be great. <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I didn’t hear any issues with this update for the Timestamp Tokens, so I’d like move forward with it to relief that Jan 1 pressure.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thanks,<br>Ian<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b>From:</b> Tim Hollebeek <<a href="mailto:tim.hollebeek@digicert.com">tim.hollebeek@digicert.com</a>> <br><b>Sent:</b> Friday, September 18, 2020 10:43 AM<br><b>To:</b> Dean Coclin <<a href="mailto:dean.coclin@digicert.com">dean.coclin@digicert.com</a>>; <a href="mailto:cscwg-public@cabforum.org">cscwg-public@cabforum.org</a>; Ian McMillan <<a href="mailto:ianmcm@microsoft.com">ianmcm@microsoft.com</a>><br><b>Subject:</b> [EXTERNAL] RE: [Cscwg-public] Timestamp Tokens (Appendix A [3]) - SHA1 digest for Authenticode TS<o:p></o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Ian,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I would be happy to add this change to the RSA-3072 ballot if there is consensus to do so.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>-Tim<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b>From:</b> Cscwg-public <<a href="mailto:cscwg-public-bounces@cabforum.org">cscwg-public-bounces@cabforum.org</a>> <b>On Behalf Of </b>Dean Coclin via Cscwg-public<br><b>Sent:</b> Friday, September 11, 2020 12:36 PM<br><b>To:</b> Ian McMillan <<a href="mailto:ianmcm@microsoft.com">ianmcm@microsoft.com</a>>; <a href="mailto:cscwg-public@cabforum.org">cscwg-public@cabforum.org</a><br><b>Subject:</b> Re: [Cscwg-public] Timestamp Tokens (Appendix A [3]) - SHA1 digest for Authenticode TS<o:p></o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Ian,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>To make the requested changes requires a ballot with 2 endorsers be proposed. This will start a formal discussion period and a vote for the change.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thanks<o:p></o:p></p><p class=MsoNormal>Dean<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b>From:</b> Cscwg-public <<a href="mailto:cscwg-public-bounces@cabforum.org">cscwg-public-bounces@cabforum.org</a>> <b>On Behalf Of </b>Ian McMillan via Cscwg-public<br><b>Sent:</b> Friday, August 14, 2020 12:01 PM<br><b>To:</b> <a href="mailto:cscwg-public@cabforum.org">cscwg-public@cabforum.org</a><br><b>Subject:</b> [Cscwg-public] Timestamp Tokens (Appendix A [3]) - SHA1 digest for Authenticode TS<o:p></o:p></p></div></div><p class=MsoNormal><o:p> </o:p></p><div><div><div><p class=MsoNormal>Hi Folks,<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>We are recognizing that in the current Code Signing BRs (v2.0) is in need of updating to account for support on Authenticode Timestamp countersignatures with SHA-1 digest for legacy implementations. <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Currently, the Code Signing BR’s v2.0 in Appendix A [3] Timestamp Tokens calls for SHA-1 to no longer be allow post January 1, 2021. We recognize this is in conflict with what Authenticode timestamps will require for existing timestamping certificates issued prior to January 1, 2021 that expire past the January 1, 2021 deadline. <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>I would like to update the Appendix A (3) Timestamp Token to be:<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><b>                (3) Timestamp Tokens</b><o:p></o:p></p><p class=MsoNormal style='margin-left:.5in'> <o:p></o:p></p><p class=MsoNormal style='margin-left:.5in'>The digest algorithms used to sign Timestamp tokens must match the digest algorithm used to sign the Timestamp Certificate.<o:p></o:p></p><p class=MsoNormal style='margin-left:.5in'> <o:p></o:p></p><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0 style='margin-left:.5in;border-collapse:collapse'><tr><td width=156 valign=top style='width:116.85pt;border:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt'><p class=MsoNormal> <o:p></o:p></p></td><td width=294 valign=top style='width:220.25pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt'><p class=MsoNormal>Generated prior to January 1, 2021<o:p></o:p></p></td><td width=300 valign=top style='width:225.0pt;border:solid windowtext 1.0pt;border-left:none;padding:0in 5.4pt 0in 5.4pt'><p class=MsoNormal>Generated on or after January 1, 2021<o:p></o:p></p></td></tr><tr><td width=156 valign=top style='width:116.85pt;border:solid windowtext 1.0pt;border-top:none;padding:0in 5.4pt 0in 5.4pt'><p class=MsoNormal>Digest algorithm<o:p></o:p></p></td><td width=294 valign=top style='width:220.25pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt'><p class=MsoNormal>SHA-256, SHA-384 or SHA-512 (SHA-1 for legacy implementations only)*<o:p></o:p></p></td><td width=300 valign=top style='width:225.0pt;border-top:none;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:solid windowtext 1.0pt;padding:0in 5.4pt 0in 5.4pt'><p class=MsoNormal>SHA-256, SHA-384 or SHA-512 (SHA-1 for legacy implementations only until April 30, 2022)<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p></td></tr></table><p class=MsoNormal style='margin-left:.5in'><span style='color:black'>*CAs can issue SHA-1 certificates to legacy platforms that do not support SHA-2 only for code signing and timestamping certificates.</span><o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal> Cheers, <o:p></o:p></p><p class=MsoNormal>Ian <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p></div></div></div></div></div></div></body></html>