<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Ryan, I think you have misinterpreted both Microsoft’s and Mozilla’s policies.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Microsoft says “issue no new SHA-1 certs on or after 1/1/2016” – but SHA-1 certs issued before that date that expire by 12/31/2016 are ok – they don’t need to be switched
 out, now or later.  Only SHA-1 certs expiring in 2017 are invalid.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Mozilla’s policy is more or less the same – SHA-1 certs will be treated as valid through 12/31/2016.  CAs should refrain from issuing any new ones now (even those expiring
 in 2016), but may do so if the customer says it’s necessary for compatibility reasons.  Only SHA-1 certs expiring in 2017 are invalid.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">So 2016 SHA-1 certs are ok with both browsers – but 2017 certs are not.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">I can assure you that any Trend Micro customer who has a SHA-1 cert expiring in Nov. or Dec. 2016 (there are no such customers today – we only issue one-year and two-year
 certs) will know from us well in advance what is coming.  Maybe we will pull back our maximum validity date for new SHA-1 certs to earlier than Nov. 2016 – it’s something to think about.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">I can also assure you that a Trend Micro customer with SHA-1 certs expiring in the first half of 2016 would much rather receive reminders and pestering notices from us over
 the next 18 months to change to SHA-256 (as they will) than to have to change hundreds of 2016 certs today and again in 2015  – no question about it.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> sleevi@google.com [mailto:sleevi@google.com]
<b>On Behalf Of </b>Ryan Sleevi<br>
<b>Sent:</b> Thursday, August 28, 2014 5:22 PM<br>
<b>To:</b> Kirk Hall (RD-US)<br>
<b>Cc:</b> Chris Palmer; rsleevi@chromium.org; security-dev; blink-dev; steve.medin@gmail.com; net-dev<br>
<b>Subject:</b> Re: Intent to Deprecate: SHA-1 certificates<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Thu, Aug 28, 2014 at 4:55 PM, <a href="mailto:kirk_hall@trendmicro.com">
kirk_hall@trendmicro.com</a> <<a href="mailto:kirk_hall@trendmicro.com" target="_blank">kirk_hall@trendmicro.com</a>> wrote:<o:p></o:p></p>
<p class="MsoNormal">Also, Chris -- who doesn't Google just deprecate SHA-1 certificates that expire on or after January 1, 2017 (now, or in six months) -- I can guarantee once that happens those certs will disappear, which is your stated goal -- and no new
 certs expiring in 2017 or later will ever be issued.<br>
<br>
Why do you have to attack SHA-1 certs now that expire in 2016?  If you just focus on certs expiring in 2017 or later, you will save thousands of website owners from needless switching of their current SHA-1 certs (when then will never be receiving SHA-1 replacement
 certs that expire in 2017).<br>
<br>
This makes no sense -- can you explain why Google's SHA-1 early deprecation isn't limited to SHA-1 certs that expire in 2017 or later???  That would catch everything, and prevent issuance of new 2017 certs.<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Because as you well know from Microsoft's policy, the date for cessation of issuance isn't 2017, it's 2016. Mozilla's policy is clearer and even more to the point "CAs should not be issuing new SHA-1 certificates", without a date attached,
 and also notes "If a CA still needs to issue SHA-1 certificates for compatibility reasons, then those SHA-1 certificates should expire before 2017", which is more than the Microsoft policy requires (and is in line with our proposed UI changes and what we proposed
 to the CA/Browser Forum 6 months ago, to much reaction and rejection)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Again, going back to the earlier point, the site operator who obtained their 5 year certificate from TrendMicro in 2011 (or your CA of choice, since in either case, it's permissible and widely practiced, whether or not TrendMicro practices
 it), which expires in July 2016, needs to be aware that they, too, are affected by SHA-1 deprecation, as they will be unable to get a SHA-1 certificate when it comes time to renew their certificate.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">They need to actively be communicating with their CA and working on SHA-256 transition plans, much the same as those with certificates expiring after 2017 (who will outright fail).<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">It would be truly unfortunate for a TrendMicro customer, possessing a certificate expiring during that busy Christmas shopping period of November-to-December 2016, with a wide variety of internal legacy systems, to find that they cannot
 get a certificate that will work in their infrastructure, because they failed to begin transitioning their infrastructure. Even if UAs support SHA-256, we both know (as do many of the CAs, as evidenced by things like Symantec's acknowledge BR violation) that
 legacy systems represent a real issue for CA's customers, beyond just user agents, and so we hope through our combined efforts, we will see the Internet as a whole transition to a more secure environment.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I can't see how delaying the messaging, which, as noted, affects Chrome users far beyond just CAs, and which affects CAs' customers far beyond just Chrome, would serve either of our respective goals.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Cheers,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Ryan<o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</body>
</html>

<table><tr><td bgcolor=#ffffff><font color=#000000><pre><table class="TM_EMAIL_NOTICE"><tr><td><pre>
TREND MICRO EMAIL NOTICE
The information contained in this email and any attachments is confidential 
and may be subject to copyright or other intellectual property protection. 
If you are not the intended recipient, you are not authorized to use or 
disclose this information, and we request that you notify us by reply mail or
telephone and delete the original message from your mail system.
</pre></td></tr></table></pre></font></td></tr></table>