<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 18, 2017 at 10:16 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 17/05/17 19:33, Ryan Sleevi wrote:<br>
> On Wed, May 17, 2017 at 2:23 PM, Gervase Markham <<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a><br>
</span><span class="">> <mailto:<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>>> wrote:<br>
>     What's the alternative proposal, given that many or most CAs can't do<br>
>     per-method rules right now?<br>
><br>
> The proposed extension would be simply that the CAs which haven't<br>
> maintained those records can still signal a BR version 1.4.2 (or 1.4.1<br>
> or equivalent). As they gather/complete such records, they can signal a<br>
> BR version 1.4.x.<br>
<br>
</span>You misunderstand me. If you want different data reuse rules (a separate<br>
question from encoding BR version in the certs), what would they be and<br>
how would they work? Or are you happy with the data reuse rules proposed?<br></blockquote><div><br></div><div>I'm suggesting that we can support the data reuse rules as proposed - arguably, a weakening of the current requirements - provided that we also specify a way for CAs to affirmatively attest that they have not reused problematic data.</div><div><br></div><div>This seems to provide a reasonable compromise - it permits insecure practices, provided that CAs are transparent about them. </div></div></div></div>