<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 17, 2017 at 11:08 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 17/04/17 15:59, Ryan Sleevi wrote:<br>
> It may be useful to state why you believe it's difficult.<br>
<br>
</span>As you have guessed - my surmise was that, particularly with caching,<br>
CDNs, etc., it can be difficult to make sure that CRLs and OCSP<br>
responders are delivering exactly the same information at all times with<br>
no skew whatsoever.<br>
<br>
It may be that in practice, the skew is always or almost always seconds<br>
or minutes, in which case I doubt we need to cater for it in the wording.<br></blockquote><div><br></div><div>That assumes the act of revoking a certificate is a distinct step from publishing that revocation data. That is, it accepts the model that a CA flips some bit in the issuance system that says "You are revoked", and then later, generates a CRL or OCSP response, and then later still, makes that available within its Repository.</div><div><br></div><div>Whether intentional or not, that's not the process the BRs describe. There, revocation is in lock-step with the operation of the Repository and the publication - if the repository says it is not revoked, then either the repository is not current, or it is not revoked. If the repository says it is revoked, then it is revoked. If a subsequent request to the repository says it is not revoked, then either the repository is not current, or the CA has "unrevoked" a certificate.</div><div><br></div><div>I realize the pedantry here is no doubt frustrating, but my attempt to describe the process, in all of its banality, is in the hope that CAs may chime in with what they believe their operations are, so we can figure out whether or not the language of the BRs reflects an improper attempt to obtain a different objective, or, if this interpretation is correct, that the skew issue is already addressed. </div></div><br></div></div>