<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 3, 2017 at 1:57 PM, Kirk Hall via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div class="m_3621800259934118278WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">I think you are overstating the consensus on the idea that “revocation checking doesn’t work.”  Which relying parties have said that?</span> </p></div></div></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_3621800259934118278WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">And much of your justification for the changes you want to make on certificate lifetime are based on that conclusion.</span></p></div></div></blockquote><div><br></div><div>This is frankly incorrect, but I'm not sure whether your confusion is intentional or accidental. The biggest challenge to making _any_ change to the ecosystem is CAs continued resistance and opposition, and the many year lifetimes of certificates and reuse of information are unquestionably a fundamental problem - the largest problem - independent of revocation.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_3621800259934118278WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">  But many disagree with that conclusion, and if we’re
 going to work on ways to deal with certificate revocation, then a renewed push for revocation checking is something we should also be discussing.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Here is the conclusion from a well-respected 2015 academic study from Stanford measuring browser revocation checking.  The study even included suggestions on how to improve
 CRLSets that could “</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">could increase their coverage by several orders of magnitude”.  Is Google willing to work on these issues as well?  We are all in this together – CAs and browsers –
 in improving user security.</span></p></div></div></blockquote><div><br></div><div>If you'd like browsers to start mandating CAs take action - we can certainly go down that route. Because much of the paper focuses on the failings of CAs causing profound ecosystem harm.</div></div></div></div>