<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 17, 2017 at 10:05 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 13/04/17 19:26, Ryan Sleevi via Public wrote:<br>
> 5) CRLs and OCSP responses MUST return the same revocation status<br>
> information (presumably, either in Section 2.1 or Section 4.10.1 / 4.10.2)<br>
<br>
</span>That sounds like a difficult coordination problem to do strictly. Would<br>
it need to say "once more than X time has elapsed since the revocation<br>
was first published"?<br></blockquote><div><br></div><div>It may be useful to state why you believe it's difficult.</div><div><br></div><div>I suspect your concern is related to the fact that, for subscriber certificates, there is no stipulation upon when the CA must publish its CRL (Section 4.9.7) or OCSP response (Section 4.9.10). There is for subordinate CA certificates (within 24 hours of revocation, also Section 4.9.7 and Section 4.9.10).</div><div><br></div><div>So on one extreme, we know that the absolute upper-bound that it's acceptable to update its information is 10 days.</div><div><br></div><div>At the same time, Section 4.9.1.1 states that the CA SHALL revoke a certificate within 24 hours for those events. Section 9.6.1 requires that the CA maintain a 24x7 publicly-accessible Repository with _current_ information regarding the status (valid or revoked) of all unexpired certificates for sub-CAs (Section 9.6.1). For the CA itself, it's required that the CA SHALL maintain an online 24/7 Repository that application software can use to automatically check the _current_ status of all unexpired Certificates issued by the CA (Section 4.10.2)</div><div><br></div><div>So using a different read, OCSP and CRL responses MUST be immediately available after revocation, otherwise, it's not _current_ status. Similarly, if the OCSP and CRL responses disagree, then one of them is not _current_ information.</div><div><br></div><div>Given that several CA members have suggested that OCSP stapling is less secure than revocation checking, because it allows for protecting "more" users, it would seem consistent that these CAs view the publication of CRLs and OCSP responses as an immediate requirement, that the act of revocation happen within 24 hours of a problem report, and that there's no difficulty in coordinating the publication.</div></div></div></div>