<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 31, 2017 at 9:15 PM, Andrew Ayer <span dir="ltr"><<a href="mailto:andrew@sslmate.com" target="_blank">andrew@sslmate.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, 31 Jan 2017 20:37:19 -0800<br>
<span class="">Ryan Sleevi via Public <<a href="mailto:public@cabforum.org">public@cabforum.org</a>> wrote:<br>
<br>
</span><span class="">> Except what we're seeing is that subscribers aren't renewing annually<br>
> - they're renewing every 13 months (or 27 or 39).<br>
><br>
> That is, it's unclear that the practical benefit of the buffer is<br>
> there, but it'd be great to understand if something is being missed.<br>
><br>
> Put differently, why cant CAs begin reaching out to their customers<br>
> one month before it expires (e.g. on month 11)? What makes month 12<br>
> more special than month 11, from the perspective of the<br>
> customer/subscriber/applicant?<br>
><br>
> For that matter, it would seem like 12 months is *more* customer<br>
> friendly, because then they can get into an annual habit of replacing<br>
> their cert. If it were 13 months, and CAs continued the current<br>
> practice of notifying at some point of (T-1 month / T-2 months), then<br>
> every year, the subscriber will be installing the cert one month<br>
> later - until suddenly they find themselves in that<br>
> November/December/January "production freeze" and find themselves<br>
> scrambling.<br>
<br>
</span>To avoid the expiration date drifting every year, a renewed<br>
certificate's notAfter date must be exactly one year after the current<br>
certificate's notAfter date.  With a 12 month limit, the CA could only<br>
do this by issuing the renewed certificate exactly when the current<br>
certificate expires, which is clearly unworkable since it allows no<br>
time for cutover.<br>
<br>
In contrast, a 13 month limit would allow a CA to issue the renewed<br>
certificate up to one month before the current certificate expires,<br>
with a validity period between 12 and 13 months as necessary to make<br>
the expiration date sync up.  This is far friendlier.<br>
<br>
Regards,<br>
Andrew<br></blockquote><div><br></div><div>Ah, right, that's the bit I was missing. Thanks for highlighting that.</div><div><br></div><div>Jeremy, if this were updated to 13 months, would you be willing to endorse? </div><div>Josh, would the delta of a month cost us ISRG's endorsement?</div></div><br></div></div>