<div dir="ltr">Hi Steve,<div><br></div><div>Apologies if I've misunderstood your response, but I think you've still failed to answer my question. I've tried to restate my question, in the event it was not clear.</div><div><br></div><div>What changes, for a CA operator or a site operator, if it's pushed back to March 1, 2018 versus April 22, 2017?</div><div><br></div><div>As I see it, a request comes in, whether on March 1 or April 22, and you (the CA) need to check whether you have comprehensive data revalidated at an appropriate time. On either day, it's possible that the last time the customer requested a certificate, it will have been outside the 2Y window. This is no different than the act of issuing a new certificate - that is, assuming you're actually validating certificate requests and their data before issuing the certificate, something not all CAs may be doing.</div><div><br></div><div>Perhaps you mean there's a friction involved in issuing a new certificate, which is reduced the more certificates are reissued, by amortizing the validation. While I can understand the desire not to revalidate information, it's worth highlighting that it serves as a very effective way for CAs to introduce market friction into switching CAs, by allowing the current CA of record (who has already validated the information) to issue the certificate with less work than their competitors (who must validate it as a new request). I would hope that's not your intent to suggest that is a useful or desirable property, given our antitrust statement, and I would also hope we should acknowledge it as an undesirable restriction on the market.</div><div><br></div><div>Perhaps you had a different reason in mind, though, and I hope you can clearly articulate it, if so.</div><div><br></div><div>I don't think I've understated any impact. Whether on April 22, 2017 or March 1, 2018, existing customers will approach their CA and request new certificates. On those days, the CA will find some subset of their users that they need to revalidate. It's not all of their existing certificates. It's not all of their existing users. It's a portion of users that the CA hasn't had contact with for three years. That population doesn't change.</div><div><br></div><div>Perhaps your implied message is that by deferring it later, CAs can reach out to their customers and let them know and prepare/explain to them the costs. But we've also heard - particularly from Symantec - that no matter how much outreach goes on, customers fail to be prepared. See the SHA-1 exception process, the 1024-bit misissuance, and the failure of sub-CAs as all cases where Symantec indicated that it was caused by an inability to communicate with their customer and prepare them for the transition, thus business-critical systems were affected, hence the misissuance was justified.</div><div><br></div><div>Symantec has also demonstrated it's capable of sending emails to every customer in light of upcoming changes - I can think of several recently - so I'm not sure I understand your objection there either, if that was it. Does the need to revalidate information change what the customer can or needs to do, especially given it only affects the population of users renewing certificates? Why? How do you quantify that? If there is impact, how is it justified to be March 1, 2018, versus say May 1, 2017? What difference does the additional time make, why, and how is that justified compared to the security benefits and increased market flexibility the proposal, as currently adopted, brings?</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 3, 2017 at 5:46 PM, Steve Medin <span dir="ltr"><<a href="mailto:Steve_Medin@symantec.com" target="_blank">Steve_Medin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-6042212772927960895WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">My point is that they do. A lot. It pays bills and employs people. It causes an industry.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">It understates the day to day effort in operating a CA to dismiss the impact that the site operator needs to apply.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">The rest of the message does indeed apply on April 22, and some CAs will need to scramble to operate that day.</span><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt"><div><div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Ryan Sleevi [mailto:<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>] <br><b>Sent:</b> Monday, April 03, 2017 1:00 PM<br><b>To:</b> Steve Medin <<a href="mailto:Steve_Medin@symantec.com" target="_blank">Steve_Medin@symantec.com</a>><br><b>Cc:</b> CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br><b>Subject:</b> Re: [EXT] Re: [cabfpub] Ballot 194 – Effective Date of Ballot 193 Provisions<u></u><u></u></span></p></div></div><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Mon, Apr 3, 2017 at 3:57 PM, Steve Medin <<a href="mailto:Steve_Medin@symantec.com" target="_blank">Steve_Medin@symantec.com</a>> wrote:<u></u><u></u></p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">On April 22, nearly one third of the authentication databases of all certificate authorities is invalidated. All data currently held from work done between 825 days and 39 months ago is wiped from use when it could have been consumed until March 1 if 193 was written as Chris seems to have intended.</span><u></u><u></u></p></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">But that doesn't matter unless someone applies for a certificate.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">You don't need to reissue all of those certificates. Only ones which are expired and/or need to be reissued.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">This exact same problem would occur on March 1, 2018. Literally everything else in your message still applies, so please help me understand what makes this different at all.<u></u><u></u></p></div></div></div></div></div></div></div></div></div></blockquote></div><br></div>