
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;

        color:black;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;

        color:black;}

p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph

        {mso-style-priority:34;

        margin-top:0in;

        margin-right:0in;

        margin-bottom:0in;

        margin-left:.5in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;

        color:black;}

span.EmailStyle19

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

span.EmailStyle20

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

span.EmailStyle21

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Hi Eddy,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">While Revocation can take place immediately, the BRs only say that you must update your cert status every 10 days.  CAs can opt to do this much more frequently,

 and most/all do.  The same is true with short validity period certificates; CAs can opt to issue them with or without CDP/AIA, or set the validity period shorter than the upper bound being proposed for this ballot.  We’re setting the upper bound, not mandating

 the validity period.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">The ability to use short-lived certificates without CDP/AIA is going to be up the eco-system you’re using them in.  If the relying party needs to check the revocation

 and it can’t, then the certificate will not be of much use anyway.  This ballot will enable browsers and other applications that process SSL certificates to start considering if/how they want to handle them.  I don’t expect all the CAs to immediately start

 issuing short-lived certificates immediately.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Doug<o:p></o:p></span></p>

<p class="MsoNormal"><a name="_MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></a></p>

<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt">

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:windowtext"> Eddy Nigg [mailto:eddy_nigg@startcom.org]

<br>

<b>Sent:</b> Tuesday, June 9, 2015 3:37 PM<br>

<b>To:</b> Doug Beattie; CABFPub<br>

<b>Subject:</b> Re: [cabfpub] Short-Lived Certs - the return<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On 06/09/2015 10:26 PM, Doug Beattie wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Browsers can check, or not, the status of SSL certificates today and they can also change the rules for shorter validity period certificates as they see fit,

 that is outside the scope of the BRs.</span><o:p></o:p></p>

</blockquote>

<p class="MsoNormal"><br>

Right! I'd prefer to keep it this way, the same way we can't mandate browsers to perform any sort of

<br>

<br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">  The purpose of this discussion/ballot is to enable the issuance of SSL certificates and not require the CA to set up revocation services.</span><o:p></o:p></p>

</blockquote>

<p class="MsoNormal"><br>

Well, that's the problem I basically personally have with it. <br>

<br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">By selecting a sufficiently short validity period we can “revoke” certificates more quickly than is currently mandated.</span><o:p></o:p></p>

</blockquote>

<p class="MsoNormal"><br>

I don't think so, rather the opposite. Revocation can take effect immediately for anybody that doesn't have a cached result already in the software which means that the minute a revocation response is set to revoked, a compromised certificate becomes (commercially)

 less interesting. <br>

<br>

Of course for specifically targeted attacks this is no true, which however requires quite some controls over the victims network. It's still a lot more difficult than with a certificate without any revocation pointers.<br>

<br>

<br>

<o:p></o:p></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Browsers might also change their expired certificate warning to that of a revoked certificate.</span><o:p></o:p></p>

</blockquote>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

I believe that's a different discussion altogether.<o:p></o:p></p>

<div>

<p class="MsoNormal">-- <o:p></o:p></p>

<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0">

<tbody>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Regards <o:p></o:p></p>

</td>

</tr>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Signer: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Eddy Nigg, COO/CTO<o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://www.startcom.org">StartCom Ltd.</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">XMPP: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="xmpp:startcom@startcom.org">startcom@startcom.org</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Blog: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://blog.startcom.org">Join the Revolution!</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal">Twitter: <o:p></o:p></p>

</td>

<td style="padding:0in 0in 0in 0in">

<p class="MsoNormal"><a href="http://twitter.com/eddy_nigg">Follow Me</a><o:p></o:p></p>

</td>

</tr>

<tr>

<td colspan="2" style="padding:0in 0in 0in 0in">

<p class="MsoNormal"> <o:p></o:p></p>

</td>

</tr>

</tbody>

</table>

<p class="MsoNormal"><span style="color:windowtext"><o:p> </o:p></span></p>

</div>

</div>

</div>

</body>

</html>