<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 24, 2017 at 12:11 PM, <a href="mailto:philliph@comodo.com">philliph@comodo.com</a> <span dir="ltr"><<a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><br><div><blockquote type="cite"><span class="gmail-"><div>On Feb 24, 2017, at 11:38 AM, Eric Mill <<a href="mailto:eric@konklone.com" target="_blank">eric@konklone.com</a>> wrote:</div></span><div><br style="font-family:helvetica;font-size:18px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_quote" style="font-family:helvetica;font-size:18px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><span class="gmail-">On Fri, Feb 24, 2017 at 10:46 AM,<span class="gmail-m_8727930381780157936Apple-converted-space"> </span><a href="mailto:philliph@comodo.com" target="_blank">philliph@comodo.com</a><span dir="ltr"><<a href="mailto:philliph@comodo.com" target="_blank">philli<wbr>ph@comodo.com</a>></span><span class="gmail-m_8727930381780157936Apple-converted-space"> </span>wrote:<br></span><span class="gmail-"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><span><div><br></div></span><div>You are misrepresenting what I am saying. Do not put words in my mouth again. You do not speak for me. Only I speak for me.</div><div><br></div><div>Is that totally clear?</div></div></blockquote><div><br></div><div>It's clear, but not relevant. As best as I can tell, it is an accurate representation of what you said, and nothing in the rest of your message indicated otherwise.</div></span></div></div></blockquote><div><br></div><div>You are not me, you will not speak for me. not now, not ever.</div><div><br></div><div>Your interpretation was wrong.</div><div><br></div><div>The White House is looking for a new press spokesperson I hear.</div></div></div></blockquote><div><br></div><div>Consider explaining why the interpretation was wrong, as you've yet to contradict it. Again, you said "Things have to break before some people will act. Which is why I consider the proposal to further reduce validity intervals to provide more procrastination time positively harmful."</div><div><br></div><div>I'm saying that that is equivalent to saying that it's better to keep long-lived certs around, so that the heightened damage their misissuance would do will increase the motivation of CAs/browsers to deprecate weaker algorithms.</div><div><br></div><div>I am making that statement to draw attention to the fallacy that underlies this line of criticism.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><div>I think that it is entirely reasonable to point out that the WebPKI is not a science project that individuals can adapt to their own whims no matter who they happen to be working for at the time. </div></div></div></blockquote><div><br></div><div>It's reasonable to point it out, but it's not useful. If the grand original design of the Web PKI turns out to have flaws in it that don't work in practice on the real internet, that would put it in the same category as many other important internet systems and protocols that have had to change in serious ways over time.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><span class="gmail-"><blockquote type="cite"><div class="gmail_quote" style="font-family:helvetica;font-size:18px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div>Expiration will remove a compromised certificate from being used in an attack, whether or not any human is aware of the compromise.</div></div></blockquote><div><br></div></span><div>But will not prevent the malefactor being issued a new one. Because in your attack scenario, no CA would have reason not to re-issue.</div><div><br></div><div>It is very easy to devise attack scenarios in which a failure occurs. But they have no real significance unless you can show that your proposed course of action results in a different outcome.</div><div><br></div><div>This scenario does not.</div></div></div></blockquote><div><br></div><div>If all you care about is getting phishing domains revoked by CAs, sure, expiration doesn't help with that. That's not the only kind of attack that exists, and the question of whether CAs should be required to revoke phishing certificates is a very different discussion that shouldn't be entangled with whether or not reducing certificate lifetimes improves security.</div><div><br></div><div>Again, have you looked at the full range of the relying party ecosystem and measured support for expiration vs revocation? That's not to mention the gap in understanding of expiration vs revocation among the slice of the technical community that makes security/engineering decisions in various libraries and applications. The difference in complexity of the two features is enormous.</div><div> </div></div>-- Eric<br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br></div></div></div></div></div></div></div>
</div></div>