<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 22, 2016 at 3:28 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We (and other CAs) have customers who are putting together an explanation of the need. It’s only been a few days. </span></p></div></div></blockquote><div><br></div><div>It's been 8 months.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Plus, I’m not sure customer input sways many people on the Forum. Would it really make a difference to you if a couple of customers chimed in? I hate to waste their time if it really isn’t going to make a difference what they say.</span></p></div></div></blockquote><div><br></div><div>If there are real reasons the solutions don't work, it's incredibly useful to hear them, because you're proposing violating core Internet standards that have existed for decades - this is nothing 'new'.</div><div><br></div><div>If this is just "Well, we'd have to have our engineer work an extra weekend to set this up, but sure, I guess it could work" - then that's unacceptably risky.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u><u></u></span></p><p class="MsoNormal"><br></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Multiple CNs don’t work well. I’m hoping we can share specifics next week.</span></p></div></blockquote><div><br></div><div>To be clear, I did not suggest multiple CNs. I did not suggest them 8 months ago. I did not suggest them this time.</div><div><br></div><div>To be very clear and abundantly explicit: The proposal I gave 8 months ago, and the proposal for which there has yet to be any evidence of compatibility issues, is quite simple:</div><div><br></div><div>commonName=[IP address]<br>subjectAltName:</div><div>  iPAddress=[IP address]</div><div><br></div><div>A single certificate for a single IP. Obviously, there's no conflict of IP addresses as there are with dNSNames that would necessitate multiple addresses in a single certificate in order to "conserve IP address space" - because each IP address is a distinct listening point.</div></div></div></div>