<p dir="ltr">Rich,</p>
<p dir="ltr">As has been explained in the past, with OCSP stapling the 'attacker' can replay the gold response to all clients.</p>
<p dir="ltr">They really are the same security risk profile. </p>
<div class="gmail_quote">On Oct 24, 2014 11:37 AM, "Rich Smith" <<a href="mailto:richard.smith@comodo.com">richard.smith@comodo.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Only if EVERY user who will hit the site after the certificate is<br>
revoked has already visited the site prior to revocation and cached the<br>
Good response.  Very unlikely, so a very shaky definition of 'better' IMO.<br>
<br>
On 10/24/2014 1:30 PM, Jeremy.Rowley wrote:<br>
> It's actually<br>
> better than OCSP as defined in the BRs since that has a 10 day validity<br>
> period.<br>
<br>
_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
</blockquote></div>