<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Jan 8, 2017 at 1:06 AM, Scott Rea via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">this may be something that the<br>
GovReform WG is considering? (I don't know, haven't researched that).<br></blockquote><div><br></div><div>It is, which is an argument to avoid introducing this until that completes.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I want to correct Jeremy on one thing - the "other" communities relying<br>
upon WebPKI actually moved away from SHA1 BEFORE CABF mandated it.</blockquote><div><br></div><div>This is an extraordinary claim for which many of your comments below reflect, but which I might suggest requires somewhat extraordinary evidence.</div><div><br></div><div>In order for your arguments further to pass muster, can you provide evidence of any industry which used the WebPKI and migrated away from SHA-1 prior to the sunset date being set in 2012 by Microsoft? Or even 2014 by the Forum? I am hardpressed to think of a single industry that successfully recognized those concerns.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I don't subscribe to a cert has "two masters" as creating a problem -<br></blockquote><div><br></div><div>Are you choosing to ignore every SHA-1 exception request message we received, as well as every industry raised as one impacted? Or are you disqualifying them based on some unclear criteria?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">PMA 1 determines whether cert remains valid under Policy 1, and PMA 2<br>
determines whether cert remains valid under Policy 2. This does not mean<br>
that PMA 1 & 2 need to interact or coordinate or "couple" their policies<br>
in any way whatsoever. </blockquote><div><br></div><div>I'm sorry, but I must again highlight my disagreement with this sentiment. PMA 1 setting policies that preclude PMA 2's certificates affects all those that rely on the validity between PMA 1 and PMA 2.</div><div><br></div><div>The Forum has seen this time and time again - with long-lived certificates, with internal server names, with SHA-1, with domain validation, with name types. Each one of these problems resulted from industries existing and relying on a single certificate being valid for PMA 1 and PMA 2. When PMA 1 moved to forbid the practice, people were opposed because it would mean you could no longer provide certificates valid for both.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The pink widgets are not mandatory, everyone is free to continue to<br>
ignore them, however, if you decide you like pink widgets at some point<br>
in the future, then Jeremy is asking if the BRs could have a clause to<br>
state they are Not Prohibited, and if you include them, you should do so<br>
like this. That does not cause any objections from me, and I am failing<br>
to see the reasons behind other's objections to the proposal.<br></blockquote><div><br></div><div>Except, as you no doubt are aware, the pink widgets may represent environmental danger that introduces risk even if you don't use them.</div><div><br></div><div>You can choose your favourite metaphor - the tragedy of the commons, second hand smoke, greenhouse gasses. Even if you don't participate in/abuse a particular resource, if others' do, it can negatively affect you.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">So... Improve Trust by getting rid of Self-Attestation, cost to do so is<br>
zero or minuscule for WebPKI, little to no risk to WebPKI (assuming that<br>
its true that its ignored today in WebPKI), this would seem a good thing<br>
to do then, would it not?<br></blockquote><div><br></div><div>These conclusions are falsely premised on flawed logic. The risk to the Web PKI has been demonstrated time and time again by the blending of the Web PKI with alternative PKIs. I would simply ask and challenge that if this will be the line of argument, then evidence be provided of blended usages that haven't been the tire fires of every other deprecation the CA/Browser Forum has imposed.</div><div><br></div></div><br></div></div>