<div dir="ltr">Except what we're seeing is that subscribers aren't renewing annually - they're renewing every 13 months (or 27 or 39).<div><br></div><div>That is, it's unclear that the practical benefit of the buffer is there, but it'd be great to understand if something is being missed.</div><div><br></div><div>Put differently, why cant CAs begin reaching out to their customers one month before it expires (e.g. on month 11)? What makes month 12 more special than month 11, from the perspective of the customer/subscriber/applicant?</div><div><br></div><div>For that matter, it would seem like 12 months is *more* customer friendly, because then they can get into an annual habit of replacing their cert. If it were 13 months, and CAs continued the current practice of notifying at some point of (T-1 month / T-2 months), then every year, the subscriber will be installing the cert one month later - until suddenly they find themselves in that November/December/January "production freeze" and find themselves scrambling.</div><div><br></div><div>Seems like it's a net-win for everybody at 12 months.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 31, 2017 at 8:33 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div class="m_-8531041903105520989WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">I like the concept of shorter validity periods, but I’d suggest a 13 month validity period rather than 12. That way subscribers can renew annually with a one month buffer period.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Jeremy<u></u><u></u></span></p><p class="MsoNormal"><a name="m_-8531041903105520989__MailEndCompose"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></a></p><span></span><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Public [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@<wbr>cabforum.org</a>] <b>On Behalf Of </b>Ryan Sleevi via Public<br><b>Sent:</b> Tuesday, January 31, 2017 8:50 PM<br><b>To:</b> CABFPub <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br><b>Cc:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>><br><b>Subject:</b> [cabfpub] Draft Ballot 185 - Limiting the Lifetime of Certificates<u></u><u></u></span></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">I'm looking for two endorsers to publicly endorse this ballot.<u></u><u></u></p><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Background:<u></u><u></u></p></div><div><p class="MsoNormal">The validity period of certificates represents the single greatest impediment towards improving the security of the Web PKI. This is because it sets the upper-bound on when legacy behaviours may be safely deprecated, while setting a practical lower-bound for how long hacks and workarounds need to be carried around by clients.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Further, in the event of misissuance related to internal control failures, rather than external security failures - for example, misissuance due to failing to properly vet subject information - the validity period represents the risk and exposure to customers and relying parties in the absence of revocation information (for example, constrained environments).<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">To keep this vote simple, it avoids any discussion of the reuse of validation information, described in Section 4.2.1 of the Baseline Requirements and Section 11.14.3 of the EV Guidelines.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">The following motion has been proposed by Ryan Sleevi of Google, Inc and endorsed by ___ of ___ and ___ of ___ to introduce new Final Maintenance Guidelines for the "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" and the "Guidelines for the Issuance and Management of Extended Validation Certificates"<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">-- MOTION BEGINS --<u></u><u></u></p></div><div><p class="MsoNormal">Modify Section 6.3.2 of the "Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates" as follows:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Replace Section 6.3.2 with:<u></u><u></u></p></div><div><p class="MsoNormal">"""<u></u><u></u></p></div><div><p class="MsoNormal">6.3.2. Certificate Operational Periods and Key Pair Usage Periods<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Subscriber Certificates issued on or after 1 May 2017 MUST NOT have a Validity Period greater than twelve (12) months.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Subscriber Certificates issued prior to 1 May 2017 MUST NOT have a Validity Period greater than thirty-nine (39) months.<u></u><u></u></p></div><div><p class="MsoNormal">"""<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Modify Section 9.4 of the "Guidelines for the Issuance and Management of Extended Validation Certificates" as follows:<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Replace Section 9.4 with:<u></u><u></u></p></div><div><p class="MsoNormal">""""<u></u><u></u></p></div><div><p class="MsoNormal">9.4 Maximum Validity Period for EV Certificate<u></u><u></u></p></div><div><p class="MsoNormal">EV Certificates issued on or after 1 May 2017 MUST NOT have a Validity Period greater than twelve (12) months.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">EV Certificates issued prior to 1 May 2017 MUST NOT have a Validity Period greater than twenty seven (27) months.<u></u><u></u></p></div><div><p class="MsoNormal">"""<u></u><u></u></p></div><div><p class="MsoNormal">-- MOTION ENDS --<u></u><u></u></p></div></div></div></div></div></div></blockquote></div><br></div>