<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jun 17, 2016 at 9:46 AM, Dean Coclin <span dir="ltr"><<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">No Processor's legal department will allow them to put out a public form saying, "We are using SHA-1". They don't understand why browsers think this is a good idea.<br></blockquote><div><br></div><div>Dean,</div><div><br></div><div>If you're going to make broad, sweeping, absolute statements, then it would help if you - or the customers you're claiming to represent - would explain why. If your goal is to suggest that Google reconsider the need for transparency, then you - and those customers - have an obligation to explain why that is. Statements like the above, and statements like you've made on the thread, objectively do not help further the discussion, and only serve to postpone and delay any further consideration of SHA-1 allowances.</div><div><br></div><div>If your goal is to support your customers, you're only hurting them with statements like this.</div><div><br></div><div>A useful furtherance of the discussion, rephrasing what yous aid, might be</div><div>"It's unlikely that payment processor's legal department will allow them to publicly admit "We are using SHA-1", because of [concerns X, Y, Z]."</div><div><br></div><div>Of course, to also reiterate the previous discussions, "because security and privacy" aren't really concrete or actionable concerns - they're opaque, vague, and broad. They don't help inform the discussion about the tradeoffs - about the need for ecosystem transparency.</div><div><br></div><div>If the proposition is that "Admitting you use SHA-1 is to put yourself at risk", then please consider what you're asking - that the entire Internet trust ecosystem accept the risk on behalf of that payment processor (and those like them), that need SHA-1 certificates. That's a completely unreasonable request, without further details.</div></div></div></div>