<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 1, 2017 at 1:01 PM, Dean Coclin <span dir="ltr"><<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_-3821727384669001928WordSection1">
<p class="MsoNormal"><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:11pt">Is there some rationale for the 12/13 month selection? Why wasn’t 6/9/14/18 months considered? It appears a balance is being sought but it is unclear what parameters
 are being weighed in this decision process.</span><br></p></div></div></blockquote><div><br></div><div>As mentioned at a number of F2F, we're happy to go shorter, but don't consider anything longer than 13 months viable. It would be incredibly difficult for any reasonable person to suggest that the convenience benefits (if any) of 14/18 months outweighs the security benefits.</div><div><br></div><div>To date, no one in the Forum has proposed 6/9 months, so it didn't seem necessary to introduce that conversation now, especially when CAs are familiar enough with 12/13 month cycles. I'm sure as we see ACME progress in IETF, that the diversity of automated issuance (whether SCEP, ACME, EST, CMC, etc) will have us revisiting that conversation and exploring a further reduction, but it's not one that seems critical to have right now.</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div class="m_-3821727384669001928WordSection1"><div><div><div class="h5"><div>
</div>
</div></div></div>
</div>
</div>

</blockquote></div><br></div></div>