
<html>

  <head>

    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <br>

    On 03/22/2013 09:47 PM, From Jeremy Rowley:

    <blockquote cite="mid:016b01ce2736$0b2b2fe0$21818fa0$@digicert.com"

      type="cite">

      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

      <meta name="Generator" content="Microsoft Word 14 (filtered

        medium)">

      <style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin-top:0in;

        margin-right:0in;

        margin-bottom:10.0pt;

        margin-left:0in;

        line-height:115%;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";

        color:black;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph

        {mso-style-priority:34;

        margin-top:0in;

        margin-right:0in;

        margin-bottom:10.0pt;

        margin-left:.5in;

        line-height:115%;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";

        color:black;}

span.EmailStyle18

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

span.EmailStyle19

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.EmailStyle20

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

      <div class="WordSection1">

        <p class="MsoNormal"><span style="color: rgb(31, 73, 125);">Why? 


            What risks do short lived certificates provide over other

            types of certificates.</span></p>

      </div>

    </blockquote>

    <br>

    First of all I don't believe that there can be a robust mechanism to

    issue certificates with such a frequency where the CA does its pre

    and post issuance diligence. I'd consider such issuance more risky

    than a controlled and supervised manner (assuming that CAs did

    implement some due diligence for issuing certificates in the post

    Diginotar aera). This is my main objection and critical in my

    opinion.<br>

    <br>

    Second, for an attacker 3 - 7 days is a long time to achieve their

    goals most of the time, by repeating same attack which would go

    undetected due to the above mentioned missing diligence, this could

    go on for a while.<br>

    <br>

    Third, most software (browsers and other clients) check revocation

    usually on a higher frequency then possible nextUpdate fields in

    OCSP and CRLs, specially when relying on OCSP. Removing revocation

    status DPs will allow an attacker to complete his attack happily

    even if the CA has become aware of it. Software updates wouldn't be

    fast enough either.<br>

    <br>

    Forth, browsers don't check revocation status all at the same time,

    making attacks more difficult when revocation status DPs are defined

    (system restarts, first access, access after 24 hours depending on

    software trigger a revocation status check). This will make an

    attack less reliable and also detectable by the client (if

    configured correctly).<br>

    <br>

    <br>

    <div class="moz-signature">

      <table border="0" cellpadding="0" cellspacing="0">

        <tbody>

          <tr>

            <td colspan="2">Regards </td>

          </tr>

          <tr>

            <td colspan="2"> </td>

          </tr>

          <tr>

            <td>Signer: </td>

            <td>Eddy Nigg, COO/CTO</td>

          </tr>

          <tr>

            <td> </td>

            <td><a href="http://www.startcom.org">StartCom Ltd.</a></td>

          </tr>

          <tr>

            <td>XMPP: </td>

            <td><a href="xmpp:startcom@startcom.org">startcom@startcom.org</a></td>

          </tr>

          <tr>

            <td>Blog: </td>

            <td><a href="http://blog.startcom.org">Join the Revolution!</a></td>

          </tr>

          <tr>

            <td>Twitter: </td>

            <td><a href="http://twitter.com/eddy_nigg">Follow Me</a></td>

          </tr>

          <tr>

            <td colspan="2"> </td>

          </tr>

        </tbody>

      </table>

    </div>

    <br>

    <br>

  </body>

</html>