<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

It’s even less than that.

<div class=""><br class="">

</div>

<div class="">« Current time » is known by everybody, as a CA is unlikely to have non NTP-synchronized servers. The remaining uncertainty on the current time is based on residual offset between UTC and server’s time (hopefully less than 1 second), and the accuracy

 of the measurement (basically, do you call time() and get a number of seconds, of gettimeofday() and get seconds and microseconds?).</div>

<div class="">Count slightly less than 10 bits of uncertainty (that’s <b class="">

not</b> entropy) when you increase the accuracy by 10^-3; i.e. you get 10 more bits when measuring milliseconds instead of seconds, and 10 more bits measuring microseconds instead of milliseconds.</div>

<div class=""><br class="">

<div class="">

<div class="">Cordialement,</div>

<div class="">Erwann Abalea</div>

</div>

<br class="">

<div>

<blockquote type="cite" class="">

<div class="">Le 25 avr. 2016 à 09:35, Fotis Loukos <<a href="mailto:fotisl@it.auth.gr" class="">fotisl@it.auth.gr</a>> a écrit :</div>

<br class="Apple-interchange-newline">

<div class=""><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Hello,</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">a

 256 bit hash of the current unix timestamp does not have 256 bits of entropy, since the possible allowed values are the hashes of all possible values a time_t value can hold (in most systems it's a 64 bit value, thus we have 2^64 different values and an entropy

 equal to log2(2^64) = 64 bits, and by eliminating past timestamps we get less bits of entropy). I believe that requiring an entropy of at least 64 bits clearly rules out these cases. If we want to be more formal, we can use the 'Shannon entropy' which is very

 clearly defined and fits our purposes.</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">I

 also believe that the current wording leaves it open to various interpretations. For example, someone may claim that after the effective date, any certificates with a serial which is smaller than 64 bits, and thus exhibit less than 64 bits of entropy, should

 be revoked. I would suggest adding a requirement for certificates having a notBefore after the effective date.</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Fotis</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">On

 04/22/2016 07:01 PM, Tim Hollebeek wrote:</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<blockquote type="cite" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

This is why I proposed and continue to support an actual definition.  If people don’t like my definition, I’m open to improvements.  I don’t think it should be too hard to come up with one that excludes the four examples Doug mentioned, and I think mine currently

 does.<br class="">

<br class="">

<br class="">

<br class="">

-Tim<br class="">

<br class="">

<br class="">

<br class="">

*From:*<a href="mailto:public-bounces@cabforum.org" class="">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org" class="">mailto:public-bounces@cabforum.org</a>] *On Behalf Of *Doug Beattie<br class="">

*Sent:* Friday, April 22, 2016 11:50 AM<br class="">

*To:* Bruce Morton; Ben Wilson; Dimitris Zacharopoulos; <a href="mailto:public@cabforum.org" class="">

public@cabforum.org</a><br class="">

*Subject:* Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br class="">

<br class="">

<br class="">

<br class="">

Is there a clear definition of what we mean by Entropy and/or unpredictable bits?    Are any/all of these acceptable:<br class="">

<br class="">

- Hash of the current date/time<br class="">

<br class="">

- Hash of the date/time in the certificate<br class="">

<br class="">

- Using the MS GUID generator<br class="">

<br class="">

- A lousy random number generator<br class="">

<br class="">

<br class="">

<br class="">

While we can all look in CT logs for sufficiently long serial numbers, it’s not possible to tell if they were generated with the entropy needed to comply, thus the request.  I think Ryan asked this question earlier this week.<br class="">

<br class="">

<br class="">

<br class="">

Is this requirement to use sufficient long serial numbers, or to use sufficiently long serial numbers with a minimum level of entropy, randomness or unpredictability?  If it’s the latter, then don’t we need to define what we mean? I don’t see the point in asking

 for longer serial numbers if there is no spec around the quality of the randomness in the serial number – maybe there is one, but it’s not obvious from the discussion.<br class="">

<br class="">

<br class="">

<br class="">

Doug<br class="">

<br class="">

<br class="">

<br class="">

<br class="">

<br class="">

*From:*<a href="mailto:public-bounces@cabforum.org" class="">public-bounces@cabforum.org</a><span class="Apple-converted-space"> </span><<a href="mailto:public-bounces@cabforum.org" class="">mailto:public-bounces@cabforum.org</a>> [<a href="mailto:public-bounces@cabforum.org" class="">mailto:public-bounces@cabforum.org</a>]

 *On Behalf Of *Bruce Morton<br class="">

*Sent:* Friday, April 22, 2016 11:15 AM<br class="">

*To:* Ben Wilson <<a href="mailto:ben.wilson@digicert.com" class="">ben.wilson@digicert.com</a><span class="Apple-converted-space"> </span><<a href="mailto:ben.wilson@digicert.com" class="">mailto:ben.wilson@digicert.com</a>>>; Dimitris Zacharopoulos <<a href="mailto:jimmy@it.auth.gr" class="">jimmy@it.auth.gr</a><<a href="mailto:jimmy@it.auth.gr" class="">mailto:jimmy@it.auth.gr</a>>>;<span class="Apple-converted-space"> </span><a href="mailto:public@cabforum.org" class="">public@cabforum.org</a><span class="Apple-converted-space"> </span><<a href="mailto:public@cabforum.org" class="">mailto:public@cabforum.org</a>><br class="">

*Subject:* Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br class="">

<br class="">

<br class="">

<br class="">

I would think that July 1, 2016 would be a good starting point. Would be good to get feedback from any CAs whose product does not support this.<br class="">

<br class="">

<br class="">

<br class="">

Bruce.<br class="">

<br class="">

<br class="">

<br class="">

*From:*<a href="mailto:public-bounces@cabforum.org" class="">public-bounces@cabforum.org</a><span class="Apple-converted-space"> </span><<a href="mailto:public-bounces@cabforum.org" class="">mailto:public-bounces@cabforum.org</a>> [<a href="mailto:public-bounces@cabforum.org" class="">mailto:public-bounces@cabforum.org</a>]

 *On Behalf Of *Ben Wilson<br class="">

*Sent:* Friday, April 22, 2016 10:43 AM<br class="">

*To:* Dimitris Zacharopoulos <<a href="mailto:jimmy@it.auth.gr" class="">jimmy@it.auth.gr</a><span class="Apple-converted-space"> </span><<a href="mailto:jimmy@it.auth.gr" class="">mailto:jimmy@it.auth.gr</a>>>;<span class="Apple-converted-space"> </span><a href="mailto:public@cabforum.org" class="">public@cabforum.org</a><span class="Apple-converted-space"> </span><<a href="mailto:public@cabforum.org" class="">mailto:public@cabforum.org</a>><br class="">

*Subject:* Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br class="">

<br class="">

<br class="">

<br class="">

I’d  like suggestions on an effective date.<br class="">

<br class="">

<br class="">

<br class="">

*From:*<a href="mailto:public-bounces@cabforum.org" class="">public-bounces@cabforum.org</a><span class="Apple-converted-space"> </span><<a href="mailto:public-bounces@cabforum.org" class="">mailto:public-bounces@cabforum.org</a>> [<a href="mailto:public-bounces@cabforum.org" class="">mailto:public-bounces@cabforum.org</a>]

 *On Behalf Of *Dimitris Zacharopoulos<br class="">

*Sent:* Friday, April 22, 2016 2:23 AM<br class="">

*To:*<span class="Apple-converted-space"> </span><a href="mailto:public@cabforum.org" class="">public@cabforum.org</a><span class="Apple-converted-space"> </span><<a href="mailto:public@cabforum.org" class="">mailto:public@cabforum.org</a>><br class="">

*Subject:* Re: [cabfpub] Pre-Ballot 164 - Certificate Serial Number Entropy<br class="">

<br class="">

<br class="">

<br class="">

On 21/4/2016 4:07 πμ, Jacob Hoffman-Andrews wrote:<br class="">

<br class="">

   I think the question of how to define entropy or CSPRNGs is a really good one, but I think the core of this ballot, changing a SHOULD to a SHALL, is too important to hold up on that complex question. How about a version which is strictly no more ambiguous

 that the current  version:<br class="">

<br class="">

   "Effective April 1, 2016, CAs SHALL use a Certificate serialNumber greater than zero (0) that exhibits at least 64 bits of entropy."<br class="">

<br class="">

   Let's Encrypt would be happy to endorse such a ballot.<br class="">

<br class="">

<br class="">

<br class="">

   _______________________________________________<br class="">

<br class="">

   Public mailing list<br class="">

<br class="">

   <a href="mailto:Public@cabforum.org" class="">Public@cabforum.org</a><span class="Apple-converted-space"> </span><<a href="mailto:Public@cabforum.org" class="">mailto:Public@cabforum.org</a>><br class="">

<br class="">

   <a href="https://cabforum.org/mailman/listinfo/public" class="">https://cabforum.org/mailman/listinfo/public</a><span class="Apple-converted-space"> </span><<a href="http://scanmail.trustwave.com/?c=4062&d=xcia15LZj7OX3h3R_NA-lpiGLbDMK-NzBsHsUQPI3w&s=5&u=https%3a%2f%2fcabforum%2eorg%2fmailman%2flistinfo%2fpublic" class="">http://scanmail.trustwave.com/?c=4062&d=xcia15LZj7OX3h3R_NA-lpiGLbDMK-NzBsHsUQPI3w&s=5&u=https%3a%2f%2fcabforum%2eorg%2fmailman%2flistinfo%2fpublic</a>><br class="">

<br class="">

<br class="">

In order to make this rule a little clearer, we suggest changing it to:<br class="">

<br class="">

"Effective XXXX, 2016, CAs SHALL use a Certificate serialNumber greater than zero (0) that exhibits at least 64 bits of entropy for all issued certificates, including CA certificates".<br class="">

<br class="">

Since this discussion begun in February, I suppose the effective date will be adjusted accordingly to a date after the ballot and not "April 1, 2016".<br class="">

<br class="">

<br class="">

Dimitris.<br class="">

<br class="">

<br class="">

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------!<br class="">

</blockquote>

<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">---</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<blockquote type="cite" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<br class="">

This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information

 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.<br class="">

<br class="">

<br class="">

_______________________________________________<br class="">

Public mailing list<br class="">

<a href="mailto:Public@cabforum.org" class="">Public@cabforum.org</a><br class="">

<a href="https://cabforum.org/mailman/listinfo/public" class="">https://cabforum.org/mailman/listinfo/public</a><br class="">

<br class="">

</blockquote>

<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">_______________________________________________</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Public

 mailing list</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<a href="mailto:Public@cabforum.org" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Public@cabforum.org</a><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">

<a href="https://cabforum.org/mailman/listinfo/public" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">https://cabforum.org/mailman/listinfo/public</a></div>

</blockquote>

</div>

<br class="">

</div>

</body>

</html>