<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Mar 19, 2017 at 3:26 PM, Peter Bowen <span dir="ltr"><<a href="mailto:pzb@amzn.com" target="_blank">pzb@amzn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>That being said, I am well aware there are large PKI deployments that depend on the alternative meaning.  This keeps being the sticking point when trying to propose updating the standards.</div></div></blockquote><div><br></div><div>How do they depend on it? If an implementation assumes that EKUs only apply to a specific certificate then they would only be added to leaf certificates, no? Adding them to an intermediate wouldn't make sense since the "usage" of an intermediate is only to issue other certificates. Thus the "specific certificate" behaviour would appear to be a compatible subset of the path-based one.</div><div><br></div><div><br></div><div>Cheers</div><div><br></div><div>AGL</div></div></div></div>