<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 17, 2017 at 12:28 PM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 17/05/17 17:24, Ryan Sleevi via Public wrote:<br>
> Would you (and Jeremy and Gerv) be receptive to including this in<br>
> 3.2.2.4?<br>
<br>
</span>I have no objection; although would it have an effect on achievable<br>
implementation timelines?<br></blockquote><div><br></div><div>Start with a SHOULD with a MUST timelines in the future :)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
> There did not appear to be any objections raised on the list - simply a<br>
> discussion related to policy OIDs versus an extension, but the the<br>
> extension provides a semantically valid approach that minimizes any<br>
> changes to CA infrastructure.<br>
<br>
</span>People with more expertise than me can make the call as to which way to<br>
do it :-)<br></blockquote><div><br></div><div>Yeah, policy OID would require reissuing intermediates to be meaningful/effective/interoperable (e.g. Microsoft ADCS requires policy OIDs in leaves are contained within their issuing intermediate), whereas ADCS can be 'easily' extended (via <a href="https://msdn.microsoft.com/en-us/library/windows/desktop/aa387348(v=vs.85).aspx">ICertServerPolicy</a> <a href="https://msdn.microsoft.com/en-us/library/windows/desktop/aa388216(v=vs.85).aspx">extensions</a> - <a href="https://msdn.microsoft.com/en-us/library/windows/desktop/aa387704(v=vs.85).aspx">example code</a>)</div></div></div></div>