<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Nov 1, 2015 at 10:18 AM, Rob Stradling <span dir="ltr"><<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 31/10/15 19:44, Brian Smith wrote:<br>
<snip><span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In fact, because the maximum validity<br>
period of a short-lived certificate is shorter than the maximum lifetime<br>
of an OCSP response, short-lived certificates are actually a *safer*<br>
form of revocation than a stapled OCSP response.<br>
</blockquote>
<br></span>
Do browsers treat expiration as harshly as revocation yet (i.e. completely block access to the site, rather than warn the user but permit them to access the site anyway)?<br>
<br>
If not, then I half agree (because staleness matters) and half disagree (because protecting users matters) that they're "a *safer* form of revocation".</blockquote><div><br></div><div>I agree it would be better for web browsers to treat expired certificates, at least expired *short-lived* certificates, exactly as equivalent to certificates for which they've received a valid REVOKED OCSP response.</div><div><br></div><div>In particular, if a browser doesn't allow the "Revoked" response block to be overridden by the user, then they shouldn't allow the "Expired" block to be overridden by the user, at least for short-lived certificates.</div><div><br></div><div>Do browser makers disagree with that?</div><div><br></div><div>Note, however, the Baseline Requirements are not for prescribing browser behavior, so it would be inappropriate to change the ballot to add a requirement for browsers to treat short-lived certificates a certain way.</div></div><br clear="all"><div>Cheers,</div><div>Brian</div>-- <br><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://briansmith.org/" target="_blank">https://briansmith.org/</a></div><div><br></div></div></div></div></div></div></div>
</div></div>