
<p dir="ltr">Gerv,</p>

<p dir="ltr">Mozilla policy already requires that CAs disclose A (Clauses 8 & 10 of Mozilla Inclusion Policy v2.2, IIRC), so I don't think there is any reason to keep it private.</p>

<div class="gmail_quote">On Nov 6, 2014 2:42 AM, "Gervase Markham" <<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 05/11/14 21:31, Brian Smith wrote:<br>

> Your proposal has the same issue. In both proposals, just by looking at<br>

> the certificate chain, you can tell whether the intermediate is required<br>

> to conform to the BRs or not. The only difference is that the way Ryan<br>

> and I are suggesting already matches what Chrome (on Windows, at lesat),<br>

> IE, and Firefox are already doing, whereas you are proposing that all<br>

> browsers eventually (5-10 years from now?) be changed to do something<br>

> new, without any protection for users until then.<br>

<br>

So basically I'm proposing an opt-in, phased in over a fairly long time,<br>

so that eventually we can programmatically determine whether a cert is<br>

covered, and you are proposing opt-out, phased in over a shorter time?<br>

<br>

I would be interested in hearing from CAs, then:<br>

<br>

A) How many non-BR-covered non-technically-constrained intermediates<br>

have you issued from your publicly trusted roots?<br>

<br>

B) How many of those would need to be reissued if there were a<br>

requirement that they contain an EKU that does not have id-kp-ServerAuth?<br>

<br>

I suspect the answer to B) in almost all cases will be exactly the same<br>

number as the answer to A).<br>

<br>

C) What is your reaction to the idea of having to revoke+reissue all<br>

such intermediates inside the timeframe of, say, a year?<br>

<br>

The existence of CT means that I suspect most CAs are resigned to<br>

numbers like the number in A) being public, but I could be wrong. So<br>

answers by email are OK.<br>

<br>

Gerv<br>

_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>

</blockquote></div>