<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Feb 10, 2017, at 9:53 AM, Ryan Sleevi <<a href="mailto:sleevi@google.com" class="">sleevi@google.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><br class=""><div class="gmail_extra"><div class="gmail_quote">On Fri, Feb 10, 2017 at 9:30 AM, <a href="mailto:philliph@comodo.com" class="">philliph@comodo.com</a> <span dir="ltr" class=""><<a href="mailto:philliph@comodo.com" target="_blank" class="">philliph@comodo.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word" class=""><div class=""><div class="">So what are these other reasons that I am ignoring?</div></div></div></blockquote><div class=""><br class=""></div><div class="">From <a href="https://cabforum.org/pipermail/public/2017-February/009410.html" class="">https://cabforum.org/pipermail/public/2017-February/009410.html</a> , which I linked to you previously:</div><div class=""><br class=""></div><div class="">"Consider the impact of Ballot 169”</div></div></div></div></div></blockquote><div><br class=""></div><div>I don’t see any implication for validation criteria at all. If a validation criteria is faulty, the WebPKI tool designed to address it is revocation.</div><div><br class=""></div><div>The longer a certificate has been issued and in use, the less concern I have for the original validation criteria. There is currently no incentive for malefactors to apply for and stockpile certificates. Most of the time, they will use the certificate as fast as possible before the phished credit card payment is challenged and it is revoked.</div><div><br class=""></div><div>The need for re-validation because the facts may have changed is a different problem. But EV already has a two year period.</div><div><br class=""></div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote"><div class="">"Consider any reform about extensions and their content”</div></div></div></div></div></blockquote><div><br class=""></div><div>As previously pointed out, the transition time for the browsers will have to run for a couple of extra years. Not a big issue. </div><div><br class=""></div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote"><div class="">"Consider how the long validity period of certificates has artificially suppressed the need for automation”</div></div></div></div></div></blockquote><div><br class=""></div><div>That is a very bad argument. Creating a problem to force people to solve it is totally uncool.</div><div><br class=""></div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote"><div class="">"Consider the challenges in distrusting a CA”</div></div></div></div></div></blockquote><div><br class=""></div><div>Again, that is a revocation problem.</div><div><br class=""></div><br class=""><blockquote type="cite" class=""><div dir="ltr" class=""><div class="gmail_extra"><div class="gmail_quote"><div class="">Each of these seems like distinct points.</div></div></div></div></blockquote><br class=""></div><div><br class=""></div><div>Seems to me that the real motivation for this proposal is that you folk turned off revocation, that has consequences and you now want to rewrite the rest of the infrastructure to avoid reconsidering the original mistake.</div><br class=""></body></html>