<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 18, 2016 at 10:36 AM, <a href="mailto:philliph@comodo.com">philliph@comodo.com</a> <span dir="ltr"><<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">1) Generate the tbsCertificate with the Serial number field containing the bytes [0x01 … 0x01], minimum of 16 bytes. This is just a fixed value placeholder. Also add an extension OID for ‘phb-sha1-hack'<br></blockquote><div><br></div><div>Objectively speaking, what value does 'phb-sha1-hack' add? </div><div><br></div><div>It would only seem to add value if someone wanted to continue trusting new SHA-1 certificates and programatically evaluate those that contain such an extension.</div><div><br></div><div>That doesn't seem to be a thing we should encourage, given that the very argument for the need for these is that they're not to be publicly trusted and on systems that cannot be updated.</div><div><br></div><div>Have I missed some other use case?</div></div></div></div>