<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

@font-face

        {font-family:"Bradley Hand ITC";

        panose-1:3 7 4 2 5 3 2 3 2 3;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;}

span.EmailStyle20

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

span.EmailStyle23

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Well, that was quick – rejected in 10 minutes flat.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks for your consideration.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> sleevi@google.com [mailto:sleevi@google.com]

<b>On Behalf Of </b>Ryan Sleevi<br>

<b>Sent:</b> Thursday, August 28, 2014 7:14 PM<br>

<b>To:</b> Kirk Hall (RD-US)<br>

<b>Cc:</b> blink-dev; security-dev; CABFPub (public@cabforum.org); net-dev; steve.medin@gmail.com; Chris Palmer<br>

<b>Subject:</b> Re: Proposal for modified Google SHA-1 deprecation policy<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p>Hi Kirk,<o:p></o:p></p>

<p>I feel like I have sufficiently explained our concerns and motivations throughout this thread, with both you and other CAs, that it should be readily apparent that this neither meets our goals nor helps our users.<o:p></o:p></p>

<p>I appreciate your thoughtful consideration in writing it.<o:p></o:p></p>

<p>Best,<br>

Ryan<o:p></o:p></p>

<div>

<p class="MsoNormal">On Aug 28, 2014 7:04 PM, "<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>" <<a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Ryan and Chris – here is a serious proposal for a modified Google SHA-1 policy.  It meets all of your stated goals. 

 Please give it some consideration.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">1.  SHA-1 certs issued on or after [Nov. 1, 2014] that expire on or after January 1, 2017 get a double whammy bad UI in Google upon issuance – red slash and nasty click-throughs.  (This will

 stop issuance of 2017 SHA-1 certs this fall.)</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">2.  SHA-1 certs issued before [Nov. 1, 2014] that expire on or after January 1, 2017 get a double whammy bad UI in Google starting [March 1, 2015] – red slash only and nasty click-throughs.  

 (This will force existing websites with 2017 SHA-1 certs to change them within the next six months).</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Result: All 2017 SHA-1 certs will be gone by next March 2015 – which certainly meets your goals.  Customers with existing 2017 certs can get through this holiday season, CAs can get the message

 out.  </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Advantages:</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">1.  CAs that have never issued 2017 certs, and never will (like Trend Micro) and their customers are not affected – that’s appropriate, as we have never been a part of this problem.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">2.  CAs that have issued three year SHA-1 certs expiring in 2017 will stop by this fall.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">3.  CAs that have issued 2017 certs in the past (and their customers) will be affected, but will have six months to adjust.  That will be a much smaller number of customers affected than if those

 with 2016 certs are forced to change their certs twice (in 2014 and again in 2015).</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">4.  All SHA-1 certs will likely be gone by next spring.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">

<span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">I don’t think Google should spend much time worrying about how CAs communicate with their customers about the need

 to move to SHA-256 before 2017 – that’s for us to worry about, and we are all strongly incentivized to get the message out (selling a 2017 cert that doesn’t work creates legal problems, and none of us wants to be dealing with angry SHA-1 customers in late

 2016 who have to switch to SHA-256).  We may also be able to get behind Google’s policy if it is revised – something that isn’t the case today.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">You mentioned somewhere that you worried that simply deprecating SHA-1 certs as of 2017 could create a big customer

 service burden on Google as of late 2016 or early 2017.  I don’t think that’s the case with this new proposed policy, as all the negative UI effects will happen in 2014-15.  Plus, I predict Google will be deluged with customer service complaints under your

 current policy, when thousands of websites start showing as “untrusted” in the next 6-12 weeks.  Why not make life easier for Google with a revised policy?</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">So what do you think?  Can we make a change to the policy that is focused on the real problem (2017 certs)?</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Thanks for your consideration.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><i><span style="font-size:14.0pt;font-family:"Bradley Hand ITC";color:#0F243E">Kirk R. Hall</span></i></b><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Operations Director, Trust Services</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Trend Micro</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</div>

<table class="MsoNormalTable" border="0" cellpadding="0">

<tbody>

<tr>

<td style="background:white;padding:.75pt .75pt .75pt .75pt">

<table class="MsoNormalTable" border="0" cellpadding="0">

<tbody>

<tr>

<td style="padding:.75pt .75pt .75pt .75pt">

<pre><o:p> </o:p></pre>

<pre>TREND MICRO EMAIL NOTICE<o:p></o:p></pre>

<pre>The information contained in this email and any attachments is confidential <o:p></o:p></pre>

<pre>and may be subject to copyright or other intellectual property protection. <o:p></o:p></pre>

<pre>If you are not the intended recipient, you are not authorized to use or <o:p></o:p></pre>

<pre>disclose this information, and we request that you notify us by reply mail or<o:p></o:p></pre>

<pre>telephone and delete the original message from your mail system.<o:p></o:p></pre>

</td>

</tr>

</tbody>

</table>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<table class="MsoNormalTable" border="0" cellpadding="0">

<tbody>

<tr>

<td style="background:white;padding:.75pt .75pt .75pt .75pt">

<table class="MsoNormalTable" border="0" cellpadding="0">

<tbody>

<tr>

<td style="padding:.75pt .75pt .75pt .75pt">

<pre><o:p> </o:p></pre>

<pre>TREND MICRO EMAIL NOTICE<o:p></o:p></pre>

<pre>The information contained in this email and any attachments is confidential <o:p></o:p></pre>

<pre>and may be subject to copyright or other intellectual property protection. <o:p></o:p></pre>

<pre>If you are not the intended recipient, you are not authorized to use or <o:p></o:p></pre>

<pre>disclose this information, and we request that you notify us by reply mail or<o:p></o:p></pre>

<pre>telephone and delete the original message from your mail system.<o:p></o:p></pre>

</td>

</tr>

</tbody>

</table>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal">To unsubscribe from this group and stop receiving emails from it, send an email to

<a href="mailto:security-dev+unsubscribe@chromium.org">security-dev+unsubscribe@chromium.org</a>.<o:p></o:p></p>

</div>

</body>

</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre><table class="TM_EMAIL_NOTICE"><tr><td><pre>

TREND MICRO EMAIL NOTICE

The information contained in this email and any attachments is confidential 

and may be subject to copyright or other intellectual property protection. 

If you are not the intended recipient, you are not authorized to use or 

disclose this information, and we request that you notify us by reply mail or

telephone and delete the original message from your mail system.

</pre></td></tr></table></pre></font></td></tr></table>