<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 1, 2017 at 8:33 AM, Peter Bowen <span dir="ltr"><<a href="mailto:pzb@amzn.com" target="_blank">pzb@amzn.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>(excerpting to focus on data)<br><br></div><div>I ran some numbers this morning about EV validity periods.</div><div><br></div><div>There are about 337,000 unexpired certs in CT logs that appear to be intended to be EV certs.  The duration between notBefore and notAfter breaks down as:</div><div><br></div><div>Less than about one year: 1.24%</div><div>About a year: 18.3%</div><div>About 13 months: 6.03%</div><div>About 14-15 months: 5.93%</div><div>About 16-18 months: 1.08%</div><div>About 19-24 months: 50.9%</div><div>About 25-27 months: 16.5%</div><div>Longer than about 27 months: 0.06%</div><div><br></div><div>The numbers are “about” because the definition of month is not clear, so I rounded things.</div></div></blockquote><div><br></div><div>Thanks for running this data, Peter. It seems CAs have been ignoring the RECOMMENDED portion of the EV Guidelines for some time, but that unfortunately comes as no surprise. It highlights the necessity that the only way to ensure RECOMMENDED practices are followed are to make them MANDATORY. </div></div></div></div>