<div style="font-family: arial, helvetica, sans-serif; font-size: 10pt"><br><br><div class="gmail_quote">On Thu, Dec 6, 2012 at 5:11 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">






<div>
<font face="Calibri, sans-serif">
<div>As suggested on the call today, I’ve handled a lot of the minor issues in this doc and grouped the remaining ones into meta-issues (five of them). I’ll send out emails periodically to have discussion on each. This is the first.</div>

<div> </div>
<div>The issues list and the doc itself can be found on the wiki at <a href="https://www.cabforum.org/wiki/89%20-%20Adopt%20Guidelines%20for%20the%20Processing%20of%20EV%20SSL%20Certificates%20v.2" target="_blank"><font color="#0000FF"><u>https://www.cabforum.org/wiki/89%20-%20Adopt%20Guidelines%20for%20the%20Processing%20of%20EV%20SSL%20Certificates%20v.2</u></font></a></div>

<div> </div>
<div>NOTE that I especially need input from browser vendors. This is your document. </div>
<div> </div>
<div>Meta-Issue #1</div>
<div> </div>
<div>The problem text is this:</div>
<div>Section 10: “…the effective key strength of symmetric algorithms must be at least 128 bits…”</div>
<div>Section 13: “The application should follow HTTP redirects and cache-refresh directives. Response time-out should not be less than three seconds”</div>
<div> </div>
<div>For EV certs, do browsers more strictly check DHE key sizes and policy OIDs in intermediate certificates? </div>
<div> </div>
<div>Also, Yngve suggested "Perhaps it needs to be made clear that the policy identifier (EV-OID) does not match if the non-root issuing CA certificate(s) of the chain does not contain either the EV-OID itself, or the any-policy OID?" What do other browser
vendors think? Do you do any such checks today? </div>
<div> </div>
<div>For EV certs, do browsers specifically follow HTTP redirects and comply with cache directives? I would only add these items if there is consensus to do so among the browser vendors.</div><span class="HOEnZb"><font color="#888888">
<div> </div>
<div>-Rick</div>
<div> </div>
</font></span></font>
</div>

<br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br><div>Note: Yngve also proposed (in Item 13) that that cookies not be sent or accepted when retrieving revocation information.</div><div><br></div><div>This is true for Windows CryptNet/CryptoAPI and for Google Chrome on (Linux, iOS, ChromeOS, Windows). I believe this is also true for OS X/Safari.</div>
<div><br></div><div>I support language directing clients not to include cookies, on the basis of both performance and user privacy, but if it doesn't make this revision, that's far from a deal breaker. It's still good guidance for application developers in general - not just EV.</div>
</div>