<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 15, 2016 at 12:12 PM, Ryan Sleevi <span dir="ltr"><<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Fri, Apr 15, 2016 at 12:03 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">The BRs require responding "revoked" if the certificate has not been issued while the RFCs specified that the CA should respond "Good".<br></blockquote><div><br></div></span><div>Where?</div><div><br></div><div>Section 4.9.10 of BRs 1.3.4</div><div><br></div><div>If the OCSP responder receives a request for status of a certificate that has not been issued, then the responder
SHOULD NOT respond with a "good" status. The CA SHOULD monitor the responder for such requests as part of
its security response procedures.
Effective 1 August 2013, OCSP responders for CAs which are not Technically Constrained in line with Section
7.1.5 MUST NOT respond with a "good" status for such certificates.<br></div><div><br></div><div>The requirement is that they don't respond "Good", not that they respond "Revoked". </div></div></div></div></blockquote><div><br></div><div>I should add that none of the section you objected to is related to Certificates and CRLs, and do not say anything about OCSP. The portion of the ballot that deals with OCSP does not change any of the normative requirements beyond updating the reference from 2560/5019 (which already exist in the BRs, c.f. v1.3.4 Section 4.9.9) to RFC 6960 (which obsoletes 2560)</div><div><br></div><div>If you read RFC 6960, Section 2.2, you will find that it's not at conflict with the spec to not return "Good" - for example, the Unknown status is sufficient.</div><div><br></div><div>You will also recall that the choice of the BR language ("not good") was precisely because of the intense debate had regarding "return revoked"</div><div><br></div><div>You can find this in the discussion in the public mailing list, and in pkix, with respect to Ballot 80. I think you may just be confused as to what was actually passed and part of the BRs, as Peter's proposal does not change or introduce conflict, nor does such conflict exist today.</div></div><br></div></div>