<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Oct 9, 2013 at 1:03 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Gerv,<br>
<br>
Thanks for sending this. The only item that gave me pause was the note about no support for CRLs, and the sentence: "The CABForum Extended Validation guidelines now require OCSP support, so Firefox no longer needs to process CRLs for EV certificates."<br>

<br>
The EV Guidelines today require OCSP support (inherited from the BRs) but isn't it possible that there are some EV and non-EV certs out there today without an AIA pointer that were issued before the relevant requirements made OCSP mandatory? We (Symantec) haven't issued any such certs, but I thought others might have.<br>

<br>
-Rick<br></blockquote><div><br></div><div>Hi Rick,</div><div><br></div><div>Luckily, this shouldn't be a concern for anyone who is following the EV Guidelines.</div><div><br></div><div>EV Guidelines 1.0 required (in Section 26) that CAs MUST support an OCSP capability for Subscriber Certificates that are issued after Dec 31, 2010.</div>
<div><br></div><div>Since the maximum validity period of an EV certificate SHALL NOT exceed twenty seven months (Section 8.a), we can rest assured that ALL EV certificates MUST have an OCSP capability.</div><div><br></div>
<div>Please see <a href="https://cabforum.org/EV_Certificate_Guidelines.pdf">https://cabforum.org/EV_Certificate_Guidelines.pdf</a> for the historical context.</div><div><br></div><div>Of course, if any CA disagrees, I'm sure the Root Program Operators would be very interested in this non-compliance. Glad to hear that Symantec is following the EV guidelines.</div>
<div><br></div><div>Cheers,</div><div>Ryan</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div><div class="h5"><br>
> -----Original Message-----<br>
> From: <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a>]<br>
> On Behalf Of Gervase Markham<br>
> Sent: Wednesday, October 09, 2013 12:15 PM<br>
> To: CABFPub<br>
> Subject: [cabfpub] insanity::pkix documentation<br>
><br>
> Hi everyone,<br>
><br>
> At the face-to-face, people asked for documentation on insanity::pkix.<br>
> I hope the attached goes some way to meeting that need. Note that it's<br>
> a<br>
> 0.1 draft; it is being circulated for information and in the hope that<br>
> it helps.<br>
><br>
> The code can be found here:<br>
> <a href="https://hg.mozilla.org/users/brian_briansmith.org/certverifier">https://hg.mozilla.org/users/brian_briansmith.org/certverifier</a><br>
><br>
> It's not the very latest, but it should give you a good idea. Also see<br>
> Mozilla bug 878932 and related bugs.<br>
> <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=878932">https://bugzilla.mozilla.org/show_bug.cgi?id=878932</a><br>
><br>
> Gerv<br>
<br>
</div></div>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public">https://cabforum.org/mailman/listinfo/public</a><br>
</blockquote></div><br></div></div>