<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 22, 2016 at 3:50 PM, Peter Bowen <span dir="ltr"><<a href="mailto:pzb@amzn.com">pzb@amzn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Thanks for clarifying this.  I thought you were referring to an email from 8 months ago, which attributed a slightly different solution to you: <a href="https://groups.google.com/d/msg/mozilla.dev.security.policy/Av6oZxbjvB4/H6s9OVegBwAJ" rel="noreferrer">https://groups.google.com/d/msg/mozilla.dev.security.policy/Av6oZxbjvB4/H6s9OVegBwAJ</a></blockquote><div><br></div><div><a href="https://cabforum.org/pipermail/public/2015-August/005851.html">https://cabforum.org/pipermail/public/2015-August/005851.html</a> , as pointed out by Wayne , and which emphasized the "single IP" solution (as I pointed out in my reply)<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">
As long as the server either only has one IP address or can switch which certificate it offers based on IP address, then you are completely right — this is a fully viable solution and is the right solution, IMHO.<br></blockquote><div><br></div><div>Thanks for that consideration. What is missing, and has remained missing, is any understanding why that solution doesn't work. It may be that there's legitimate reasons it won't - but there hasn't been any details or data about this, other than Jeremy's remarks, but for which sound like they're responding to a different proposal than what was put forth.</div></div></div></div>