<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri, sans-serif" size="2">
<div>This request is directed towards Google and Mozilla, whose browsers currently use CRL Sets or are expected to use them in the near future. In a discussion among some of the CAs about how CRL Sets worked, it became clear that we really don’t know the details,
especially with regards to exceptions. We know of no formal published specifications.</div>
<div> </div>
<div>We think this is an area where transparency would be beneficial. CAs would like to understand exactly how they work and how the information is gathered, to insure that design assumptions were correct. Are CRLs filtered for certain reason codes? Are very
large CRLs included?</div>
<div> </div>
<div>Note that for end entity certificates, CAs are required to use OCSP but are not required to issue CRLs. We need to know how browsers handle end entity certificates without CDP pointers. Those certs would not be covered by a CRL Set. CAs may wish to have
the freedom to stop issuing CRLs due to their size and bandwidth costs, but if many CAs decided to do that, it appears that CRL Sets would be negative affected.</div>
<div> </div>
<div>Google, Mozilla, can you publish detailed specs?</div>
<div> </div>
<div>-Rick</div>
<div> </div>
</font>
</body>
</html>