<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 1, 2017 at 10:49 AM, Ryan Sleevi <span dir="ltr"><<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><span style="font-size:12.8px">Reposing on behalf of </span><span name="Jürgen Brauckmann" class="gmail-m_-2027377797794697035gmail-gD" style="font-size:12.8px">Jürgen Brauckmann</span><span style="font-size:12.8px;white-space:nowrap"> </span><span class="gmail-m_-2027377797794697035gmail-go" style="font-size:12.8px;white-space:nowrap"><span><</span><a href="mailto:brauckmann@dfn-cert.de" target="_blank">brauckmann@dfn-<wbr>cert.de</a><span>></span></span></div><div class="gmail_extra"><span class="gmail-m_-2027377797794697035gmail-go" style="font-size:12.8px;white-space:nowrap"><span><br></span></span></div><div class="gmail_extra"><span class="gmail-"><span style="font-size:12.8px">Ryan Sleevi via Public schrieb:</span><br style="font-size:12.8px"></span><span class="gmail-"><span class="gmail-m_-2027377797794697035gmail-im" style="font-size:12.8px">>   4. The CA has not revoked any certificates which contain certificate<br>> information verified using the document or data.<br><br></span></span><span class="gmail-"><span style="font-size:12.8px">Your goal is to kill OV?</span></span></div></div></blockquote><div><br></div><div><div>And why does OV require revocation? OV totally remains valid, so long as you're not revoking those certs.</div><div><br></div><div>As mentioned in my other message just now, beyond keyCompromise, what other reasons would you revoke a cert? Surely if you revoke a cert because of "affiliationChanged", you should very well be revalidating the affiliation before issuing a new cert; otherwise, you could revoke the cert and totally reissue it using the original bogus information.</div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><span class="gmail-"><span style="font-size:12.8px"> Or am I missing something? e.g., Enterprise RA</span><br style="font-size:12.8px"><span style="font-size:12.8px">authorization must be revalidated each time a certificate is revoked? What?</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Regards,</span><br style="font-size:12.8px"><span style="font-size:12.8px"> Jürgen</span><br></span></div></div>
</blockquote></div><br></div></div>