<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, May 18, 2017 at 10:15 AM, Gervase Markham <span dir="ltr"><<a href="mailto:gerv@mozilla.org" target="_blank">gerv@mozilla.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 17/05/17 18:29, Doug Beattie via Public wrote:<br>
> 2)      Set a date within the next 3-6 months for requiring only the 10<br>
> methods for issuance of all certificates<br>
<br>
</span>I think the date for which "only 10 methods" is allowed has de facto<br>
become a root program issue rather than a BR issue; for Mozilla, it's<br>
21st July.<br>
<span class=""><br>
> 3)      Specify which baseline methods were used within the certificate<br>
> and allow deprecated methods to be used for the next 825 days.  What<br>
> timeline are we contemplating for this?<br>
<br>
</span>It's not about continuing to allow deprecated methods, it's about<br>
continuing to allow data gathered using deprecated methods. The current<br>
proposal, to which Ryan is objecting, is to allow all existing data to<br>
continue to be used for the standard data lifetime of 825 days.<br></blockquote><div><br></div><div>While I certainly find it objectionable and unfortunate that CAs would reuse such data, I'm suggesting that we could be supportive, provided that we normatively specified a way to signal compliance with the existing method (so that security-conscious CAs can adopt and signal this), with a requirement for all CAs to signal compliance further out. If we were to do this today, we can rely on it within 4 years - but it also seems to be a reasonable way to compromise with reduced security in the Baseline Requirements. </div></div><br></div></div>