<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri, sans-serif" size="2">
<div>Tom, Geoff, Gerv,</div>
<div> </div>
<div>Here’s the question I raised on the call. I’d really appreciate it if you could track down the answers for your respective platforms and share the answers with the CABF list.</div>
<div> </div>
<div>Officially, only SHA-1 is supported in OCSP today (RFC 2560), and support for OCSP algorithm agility (RFC6277) might be limited. What is your plan about OCSP requests and responder certificates with SHA-1? </div>
<div> </div>
<div><font color="#1F497D"><i><b>[Kelvin Yiu responded] We expect OCSP certificates and responses would signed with SHA2. Doesn’t RFC 6277 requires support for at least RSA with SHA 256 in addition to RSA with SHA1? Are you aware of any OCSP client that do
not support SHA256?</b></i></font></div>
<div><font color="#1F497D"> </font></div>
<div><font color="#1F497D">I’d like to understand if/when browser clients will stop using SHA-1 in OCSP requests, and when all supported platforms did/will support full use of SHA-256 in OCSP responses (in the signature of the response, and the signature of
the cert that signed the response).</font></div>
<div><font color="#1F497D"> </font></div>
<div><font color="#1F497D">I’d also like to ask other CAs if they have full support for RFC6277. My hunch is that some don’t support it, and can’t easily support it (at least those CAs that outsource OCSP software and had difficulty complying with the “don’t
return a valid status for a cert you never issued” ballot).</font></div>
<div><font color="#1F497D"> </font></div>
<div><font color="#1F497D">-Rick</font></div>
<div> </div>
<div> </div>
</font>
</body>
</html>