<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 30, 2015 at 3:09 PM, <a href="mailto:kirk_hall@trendmicro.com">kirk_hall@trendmicro.com</a> <span dir="ltr"><<a href="mailto:kirk_hall@trendmicro.com" target="_blank">kirk_hall@trendmicro.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div>
<p class="MsoNormal">I was happy to see the link to the academic study “An End-to-End Measurement of Certificate Revocation in the Web’s PKI” in Ryan’s response – this is a very impressive study of revocation checking issues by nine academic members of four
 highly respected universities (Northeastern, Univ. of Maryland, Duke/Akamai Tech., and Stanford).  Their findings should not be ignored or minimized.<u></u><u></u></p>
<p class="MsoNormal">Here is the link again: <u></u><u></u></p>
<p class="MsoNormal" style="margin-bottom:0in;margin-bottom:.0001pt;line-height:normal;text-autospace:none">
<a href="http://www.cs.umd.edu/~dml/papers/revocations_imc15.pdf" target="_blank">http://www.cs.umd.edu/~dml/papers/revocations_imc15.pdf</a></p></div></div></blockquote><div><br></div><div>Without attempting to ignore or minimize their research, there are issues with the testing methodology and understanding that may have contributed to incorrect findings with respect to several behaviours.</div><div><br></div><div>As perhaps a very real and tangible example, the results for iOS are not reflective of the real world, due to the use of the simulator, which has an entirely different library responsible for certificate validation.</div></div></div></div>