<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">On Jan 13, 2016, at 10:15 AM, Ryan Sleevi <<a href="mailto:sleevi@google.com" class="">sleevi@google.com</a>> wrote:<br class=""><div><blockquote type="cite" class=""><div dir="ltr" class="">On Wed, Jan 13, 2016 at 10:03 AM, Ben Wilson <span dir="ltr" class=""><<a href="mailto:ben.wilson@digicert.com" target="_blank" class="">ben.wilson@digicert.com</a>></span> wrote:<br class=""><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Is the requirement really clear?  Some browsers don't check OCSP for intermediates and use CRLs instead. </blockquote><div class=""><br class=""></div><div class="">So? The BRs themselves are clear it's a requirement. I mean, if we want to change to discuss that practical reality, we certainly can, but we should at least honor the rules as written.</div><div class=""><br class=""></div><div class="">Section 4.9.10 makes that clear. 7.1.2.2 item c also makes this clear.</div></div></div></div></blockquote><br class=""></div><div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class="">It seems pretty clear to me.  </div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class=""><br class=""></div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class="">If a CA signs a certificate with CA:True in basicConstraints, then it must issue CRLs.</div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class=""><br class=""></div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class="">If a CA issues certificates covered by the BRs (either subscriber certificates or CA cross-certificates), then it must have an associated OCSP responder.</div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class=""><br class=""></div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class="">I think it is allowable that a CA that issues both kinds of certs (subscriber and CA) can issue CRLs with an IDP extension that indicates that the CRL only covers CA certs.</div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class=""><br class=""></div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class="">Does this sound right?</div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class=""><br class=""></div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class="">Thanks,</div><div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: small; widows: 1;" class="">Peter</div></div></body></html>