<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 15, 2016 at 12:03 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">The BRs require responding "revoked" if the certificate has not been issued while the RFCs specified that the CA should respond "Good".<br></blockquote><div><br></div><div>Where?</div><div><br></div><div>Section 4.9.10 of BRs 1.3.4</div><div><br></div><div>If the OCSP responder receives a request for status of a certificate that has not been issued, then the responder
SHOULD NOT respond with a "good" status. The CA SHOULD monitor the responder for such requests as part of
its security response procedures.
Effective 1 August 2013, OCSP responders for CAs which are not Technically Constrained in line with Section
7.1.5 MUST NOT respond with a "good" status for such certificates.<br></div><div><br></div><div>The requirement is that they don't respond "Good", not that they respond "Revoked". </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
There is one issue I'm looking at that I plan to ballot soon (although I'm still doing research on the number of instances impacted).  Microsoft crypto pre-Windows 10 does not support IP Address in the SAN:iPAddress. It must be in SAN:DNS.  Considering that Windows 8 has not been deprecated, I'm planning on a ballot that would permit SAN:DNS to have IP Addresses until Windows 8 is no longer a factor. Any support for this?</blockquote><div><br></div><div>Not here. </div></div><br></div></div>