<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 5, 2015 at 1:06 PM, Doug Beattie <span dir="ltr"><<a href="mailto:doug.beattie@globalsign.com" target="_blank">doug.beattie@globalsign.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">This topic has been on the back burner for a while and I think we should move it to pre-pre-ballot discussions.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Given both OCSP and CRL max validity are set at 10 days, I’d recommend we allow SSL certificates to omit OCSP and/or CRL information if they are 10 days or less

 in duration, that is currently the max lag time a relying party can go without an update (most CAs actual controls are much shorter than this, and they can also have shorter limits on their “short validity SSL certificates”)<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">I also recommend that we clearly specify that you cannot pre-date a certificate by more than 24 hours, and you cannot postdate the certificate at all as part

 of this ballot (to make it clear you cannot pre-generate a years’ worth of certs ahead of time).

<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">I would propose that we allow DV/OV and EV certificates to implement this; however, if EV should be exempt of have a shorter limit, I’m fine with that.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">In summary:<u></u><u></u></span></p>

<p><u></u><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><span>1.<span style="font-style:normal;font-variant:normal;font-weight:normal;font-stretch:normal;font-size:7pt;line-height:normal;font-family:'Times New Roman'">     

</span></span></span><u></u><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">DV/OV/EV certificates with validity periods of 10 days (240 hours) or less may omit CDP and OCSP URLs<u></u><u></u></span></p>

<p><u></u><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><span>2.<span style="font-style:normal;font-variant:normal;font-weight:normal;font-stretch:normal;font-size:7pt;line-height:normal;font-family:'Times New Roman'">     

</span></span></span><u></u><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Certificates may be dated in the past by up to 24 hours<u></u><u></u></span></p>

<p><u></u><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><span>3.<span style="font-style:normal;font-variant:normal;font-weight:normal;font-stretch:normal;font-size:7pt;line-height:normal;font-family:'Times New Roman'">     

</span></span></span><u></u><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Certificates must not be dated in the future<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Conceptually, is this something the members feel they can support?  If so, I can start on a pre-ballot and we can discuss at the F2F.<u></u><u></u></span></p>

<p class="MsoNormal"><br></p></div></div></blockquote><div><br></div><div>It looks like Microsoft has set their OCSP validity requirements at 7 days, with a required next-update of 1/2 the validity period ( <a href="https://technet.microsoft.com/en-us/library/cc751157.aspx">https://technet.microsoft.com/en-us/library/cc751157.aspx</a> )</div><div><br></div><div>While the BRs' max validity is at 10 days, with Microsoft's move to shorten it (conceptually, to 7, but for purposes of equivalency, this would be 3.5), would it be more suitable to just adapt those dates for a discussion of short-lived certs?</div></div></div></div>