<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Nov 4, 2014 at 2:03 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">One of the (unstated, I guess) assumptions in my proposal is that<br>
telling all the CAs to go out and reissue all or most of their<br>
intermediates won't fly. Do you agree with that?<br></blockquote><div><br></div><div>I agree with that. That's why your proposal would not have any positive effect for a long time, because browsers would have to trust CA certificates without id-kp-serverAuth for a very long time.</div><div><br></div><div>However, I'm assuming that for the CAs for which the BRs apply, it is already the case that all or most of their intermediates conform to the BRs. My proposal would result in no action for them. With my proposal, the only CAs that would need to do anything would be ones that currently have intermediates that are trusted for SSL issuance, but which are non-conformant with the BRs. Again, my proposal is to just codify the assumption that web browsers are already making; it is actually nothing new. (Please see my clarification of my suggestion in my response to Eddy, because it makes a big difference.)</div><div><br></div><div>Cheers,<br></div><div>Brian</div></div></div></div>