<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 13, 2014 at 12:51 PM, Moudrick M. Dadashov <span dir="ltr"><<a href="mailto:md@ssc.lt" target="_blank">md@ssc.lt</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    <div>It certainly does. I understand folks
      looking for a programmatic discovery of cert types, but still
      curious why EKU is more appropriate for this than any other
      predefined field that raises no conflict with standards.<br>
      <br>
      Thanks,<br>
      M.D.<div><div class="h5"><br></div></div></div></div></blockquote><div><br></div><div>Because it's widely implemented in a variety of libraries and provides immediate security benefits for clients, and immediate clarifications for CAs about in scope vs out of scope, and doesn't conflict with any of the language in RFC 5280 - which, while was accurate at the time it was written ("In general, this doesn't appear in CA certs"), is NOT a prohibition against it, just an observation.</div></div></div></div>