<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">Right now it takes me about 5 years to get a change in the WebPKI. That is three years of getting agreement on the technology, two years to get the infrastructure built out to deploy and then it takes time for the certificate population to rotate.</div><div class=""><br class=""></div><div class="">Now if people would be willing to help shorten the first two periods, I would be a lot more enthusiastic about shortening the third.</div><div class=""><br class=""></div><br class=""><div><blockquote type="cite" class=""><div class="">On Feb 10, 2017, at 12:45 PM, Ryan Sleevi <<a href="mailto:sleevi@google.com" class="">sleevi@google.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><br class="Apple-interchange-newline"><br style="font-family: Helvetica; font-size: 18px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><div class="gmail_quote" style="font-family: Helvetica; font-size: 18px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">On Fri, Feb 10, 2017 at 9:39 AM,<span class="Apple-converted-space"> </span><a href="mailto:philliph@comodo.com" class="">philliph@comodo.com</a><span dir="ltr" class=""><<a href="mailto:philliph@comodo.com" target="_blank" class="">philliph@comodo.com</a>></span><span class="Apple-converted-space"> </span>wrote:<br class=""><blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex;"><div style="word-wrap: break-word;" class=""><div class="">I fail to see how this example shows a security improvement from reducing certificate validity.</div><div class=""><br class=""></div><div class="">In the case that CABForum declares that certs of a particular type are to be decorated with attribute X, there will naturally have to be a phase in period. The normal practice for such a phase in would be to grandfather all the existing CAs for the period of the phase in and require new entrants to start using the new decoration immediately. So the only practical impact of the phase in period is that clients would have to carry both sets of code for the duration of the phase in. If the period is three years instead of one, they have to carry the legacy grandfather code for 24 extra months.</div><div class=""><br class=""></div><div class="">That is an argument but it is not a security justification for the proposed change.</div></div></blockquote><div class=""><br class=""></div><div class="">Given that multiple examples were provided, perhaps you might respond specifically to each, rather than the ambiguity as to "this example"</div><div class=""><br class=""></div><div class="">For example, we know the EKUs are relevant, with respect to CA members ambiguity with respect to what the "Scope of the Baseline Requirements" are, as well as the prohibitions of certain practices for certificates "in scope". So concretely, the introduction of an EKU defines the scope, and thus provides a technical control to identify and reject things which the CA might have interpreted as "out of scope", thereby protecting users.</div><div class=""><br class=""></div><div class="">Similarly, you've failed to address the matter of domain validation. Do you believe these methods do not improve security at all? Given Comodo's involvement and attention to them, I think that would be a fairly surprising statement for many in this Forum to hear that Comodo does not believe Ballot 169 improves the security through better domain controls. Even more surprising would be if "this argument" referred to CAA, given Comodo's responsibility in providing that draft. Does Comodo believe your specification does not improve the security of the ecosystem, particularly for Subscribers? </div></div></div></blockquote></div><br class=""></body></html>