<div dir="ltr">Except it doesn't manifest as any real issues until June 2018.<div><br></div><div>Or do we believe 16 months is too short a time to make changes?<br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 9, 2017 at 1:48 PM, Jeremy Rowley via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Right - I think the primary issue is this comes into effect on May 7th of this year. It takes a lot of subscribers by surprise.<br>
<span class="im HOEnZb"><br>
-----Original Message-----<br>
From: Public [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@<wbr>cabforum.org</a>] On Behalf Of Dean Coclin via Public<br>
Sent: Thursday, February 9, 2017 2:42 PM<br>
To: CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
</span><div class="HOEnZb"><div class="h5">Cc: Dean Coclin <<a href="mailto:Dean_Coclin@symantec.com">Dean_Coclin@symantec.com</a>><br>
Subject: Re: [cabfpub] Draft Ballot 185 - Limiting the Lifetime of Certificates: User input<br>
<br>
Jody,<br>
I don't think you will get too many people disagreeing with your statement. But I think the issue for most is the implementation timeline, in light of other programmed roadmap actions and customer education/notification which must accompany this. That seems to be ignored by the proponents and doesn't show much respect toward building consensus in a consensus organization.<br>
<br>
-----Original Message-----<br>
From: Public [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@<wbr>cabforum.org</a>] On Behalf Of Jody Cloutier via Public<br>
Sent: Thursday, February 9, 2017 12:48 PM<br>
To: CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
Cc: Jody Cloutier <<a href="mailto:jodycl@microsoft.com">jodycl@microsoft.com</a>><br>
Subject: Re: [cabfpub] Draft Ballot 185 - Limiting the Lifetime of Certificates: User input<br>
<br>
I'm the first to admit that I haven't been following this thread as closely as I would like, but, from Microsoft's perspective, we want shorter certificates and not longer. We would certainly endorse a ballot that would mandate shorter certificate life for the very reason stated below: if we want to eliminate X we would know exactly when the last cert will expire. We've gone so far as to consider mandating this as a program requirement. Anyway, that's our .02.<br>
<br>
-----Original Message-----<br>
From: Public [mailto:<a href="mailto:public-bounces@cabforum.org">public-bounces@<wbr>cabforum.org</a>] On Behalf Of Christian Heutger via Public<br>
Sent: Thursday, February 9, 2017 9:31 AM<br>
To: CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
Cc: Christian Heutger <<a href="mailto:ch@psw.net">ch@psw.net</a>><br>
Subject: Re: [cabfpub] Draft Ballot 185 - Limiting the Lifetime of Certificates: User input<br>
<br>
> I can see why there's some confusion here :-) Ryan is not arguing that we should switch to 13 months so that we will always in future move from "let's eliminate Algorithm X" to "Algorithm X is gone" in 13 months. One would always consider lots of data points in setting such a timetable. His point is that 3.25 > year certs make it very hard to move faster than that in _any_ deprecation scenario, whether simple or complex.<br>
<br>
I don’t believe, moving faster is required for normal situations. If there are issues arising needing faster reaction, revocation and reissue is still a possible way. For normal situations, enterprises need to be able to react and they can’t move faster. Why are most enterprises skipping one Windows version and roll out the next one? As they are not able to move faster in controlled enterprise security environments.<br>
<br>
> I don't agree that replacing your certificates once a year requires automation. It's made easier by automation, but it doesn't require it.<br>
<br>
As I understood the discussion, 1 year is the first step on a road to months or weeks.<br>
<br>
> I'm sure there are plenty of CAs, big and small, who would assert their automation solutions are secure. :-)<br>
<br>
But as you know, there is nothing, which is 100% secure and if we talk about certificates in their sense of encryption and(!) identity assurance, such job shouldn’t be based on automatism.<br>
<br>
<br>
______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://clicktime.symantec.com/a/1/DJOabsexgZpqRhK4Bm0vY0LCU_A7fLTFBbYldNpVnwE=?d=O1780y8FKUGo97xfvWHTKyIZeLcKtes6qAn4x0w1FTcgk5APekHvbWPQEH7DJKKt86J-rK8MmQWb8MH5rrFNOCm_JHEgd7vcX5lVbf2RxzVCwdJ4l63cGU4HF0VjnaSKL32Jyn_-t-KtIXT0Peegw5RGNHQ3tXh9YgFTu5KBlfPYQwDhDMOOHSCbjQj7o2WlJk5_5ywFzgoNzW-e4NvXRwXik1Mb5KxCweruj5QsyFxvFEDqEEe1TDHsNxnySZZrvRWI64dzOAZweXUwgCWaFhk4qpCAYVS3Avfwjf15uFGiF3YRD4Whv3sR8J5Vi9rsF4Hua61z37eoD50mdLqGMZEvlS63sa96REDIZQ11xHwK2dfeU1BZQ2KFqULn5IRC64oWROmlEOPjvooJM5XE9PXGJXebHssYudrapea5M2x1oscE-yquOWznFJAwvQkluFnB37Pkgk_YT6HwB-tIokqpHjXdWfJ9aHLY7VATlUXIDdo%3D&u=https%3A%2F%2Fcabforum.org%2Fmailman%2Flistinfo%2Fpublic" rel="noreferrer" target="_blank">https://clicktime.symantec.<wbr>com/a/1/<wbr>DJOabsexgZpqRhK4Bm0vY0LCU_<wbr>A7fLTFBbYldNpVnwE=?d=<wbr>O1780y8FKUGo97xfvWHTKyIZeLcKte<wbr>s6qAn4x0w1FTcgk5APekHvbWPQEH7D<wbr>JKKt86J-rK8MmQWb8MH5rrFNOCm_<wbr>JHEgd7vcX5lVbf2RxzVCwdJ4l63cGU<wbr>4HF0VjnaSKL32Jyn_-t-<wbr>KtIXT0Peegw5RGNHQ3tXh9YgFTu5KB<wbr>lfPYQwDhDMOOHSCbjQj7o2WlJk5_<wbr>5ywFzgoNzW-<wbr>e4NvXRwXik1Mb5KxCweruj5QsyFxvF<wbr>EDqEEe1TDHsNxnySZZrvRWI64dzOAZ<wbr>weXUwgCWaFhk4qpCAYVS3Avfwjf15u<wbr>FGiF3YRD4Whv3sR8J5Vi9rsF4Hua61<wbr>z37eoD50mdLqGMZEvlS63sa96REDIZ<wbr>Q11xHwK2dfeU1BZQ2KFqULn5IRC64o<wbr>WROmlEOPjvooJM5XE9PXGJXebHssYu<wbr>drapea5M2x1oscE-<wbr>yquOWznFJAwvQkluFnB37Pkgk_<wbr>YT6HwB-<wbr>tIokqpHjXdWfJ9aHLY7VATlUXIDdo%<wbr>3D&u=https%3A%2F%2Fcabforum.<wbr>org%2Fmailman%2Flistinfo%<wbr>2Fpublic</a><br>
______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
</div></div><br>______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
<br></blockquote></div><br></div></div></div>