<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 2, 2017 at 7:52 AM, Steve Medin <span dir="ltr"><<a href="mailto:Steve_Medin@symantec.com" target="_blank">Steve_Medin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-5027234872381608936WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">If it’s incredibly difficult, how is this a discussion for an industry forum rather than a stated policy technically enforced by the parties who see certificates valid longer than 13 months as a threat to their user base?</span></p></div></div></blockquote><div><br></div><div>Mostly it's an opportunity for CAs to share reasons and actionable data about why this would be unreasonable.</div><div><br></div><div>As a representative of a CA responsible for considerable misissuance, I would have thought you'd be supportive of efforts to improve security by reducing the risk and damage caused by rogue employees, rogue RAs, and whatever rogue elements might cause future misissuance. </div></div><br></div></div>