<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 10, 2017 at 8:25 AM, Scott Rea <span dir="ltr"><<a href="mailto:scott@scottrea.com" target="_blank">scott@scottrea.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The reasoning behind the 400 vs some other derivative of 13 months was<br>
the 398 was an upper bound (per the logic you have described) plus 2<br>
extra days were given to account for 398-day anniversary falling on a<br>
week-end, so that the key holders and CAs could address any change<br>
during normal business hours.<br></blockquote><div><br></div><div>Can you explain to me how the exact same problem is not present for 400 day certificates as it is for 398 day certificates, as you advocate? You can quickly find that any addition of "plus 400 days" to a particular start date will inevitably fall on a weekend. Should we then argue for 402 days, using this same logic?</div><div><br></div><div>I suspect you realize that would be silly, and hope your answer would be that "This would be solved via policy" - that is, the CA can determine whether or not expiration would fall on a weekend, and thereby reduce the validity period (to less than 398 days) to accommodate this case. Indeed, this very suggestion was already put forward that 398 is not the MINIMUM validity, but the MAXIMUM validity - allowing member CAs, for example, to define their policies in terms of "13 months", without any possibility of accidentally violating the Baseline Requirements due to poor date calculation.</div><div><br></div><div>I appreciate you bringing this use case forward, but hopefully the above answer satisfactorily shows why 400 days does not solve it, and thus again, appears to just be about aesthetics.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
So to summarize, my request to consider 400 as the upper limit was to<br>
reduce the potential burden on WebPKI CAs who also operate<br>
simultaneously in other PKI based trust communities that have already<br>
set this bound, and also to allow flexibility for anniversaries that<br>
fall on a week-end, so that they can instead be dealt with during normal<br>
business hours - this lowers the impact on the CA and on the customer<br>
key holders.<br></blockquote><div><br></div><div>Would you be arguing that if these other PKI based trust communities set 800 days as their upper bound, the Forum should consider it as such? If not, why not?</div><div><br></div><div>As you have highlighted, different communities have different expectations about security. 398 days may (and I advance, is) appropriate for the Web PKI. If other PKIs wish to use 400, 600, 800 days, or even more novelly, define things in other units, such as 31415926 seconds, then more power to them. But the alignment you advocate does not have practical advantage for the Web PKI or its consumers and relying parties, sets unfortunate expectations, and ultimately, is purely for aesthetics, rather than objective technical value.</div><div><br></div></div></div></div>