<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <br>
    <br>
    <div class="moz-cite-prefix">On 13/1/2022 8:02 μ.μ., Ian McMillan
      via Cscwg-public wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:0100017e549af3b4-bdc31d6c-3b8e-4bf2-8eed-1480b5515916-000000@email.amazonses.com">
      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      <meta name="Generator" content="Microsoft Word 15 (filtered
        medium)">
      <style>@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}div.WordSection1
        {page:WordSection1;}ol
        {margin-bottom:0in;}ul
        {margin-bottom:0in;}</style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
      <div class="WordSection1">
        <p class="MsoNormal">Hi Folks,<o:p></o:p></p>
        <p class="MsoNormal"><o:p> </o:p></p>
        <p class="MsoNormal">I followed up to make sure we have the
          behavior for Windows understood. WVT (WinVerifyTrust) will do
          revocation checking for the TSA cert and if timestamped with
          that TSA, and it will consider the signature as invalid even
          if the signing cert is still valid at the time of checking.
          Corey’s point about the broad usage leads to larger impact in
          the revocation scenario does play a large factor and why I
          would like to see the TSA entity certificate max validity come
          down to 15 months, and we remove the rekey requirement. </p>
      </div>
    </blockquote>
    <br>
    Hello Ian,<br>
    <br>
    Thank you for the feedback about WVT, it's very useful. I believe
    most CAs prefer to have the Time-stamping Issuing CA offline
    (treated as a Root) because I assume we weren't sure if the
    timestamp validation extends to the certificate of the Issuing CA.
    Can you also please confirm that the validity of the Time-stamping <b>Issuing
      CA Certificate</b> (at the subCA level) is checked by WVT? <br>
    <br>
    If Windows checks for the validity of the issuing CA Certificate,
    some CAs might consider bringing the TSA Issuing CA online.<br>
    <br>
    Thanks,<br>
    Dimitris.<br>
  </body>
</html>