<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 23, 2017 at 3:42 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_8714553372165903461WordSection1"><p class="MsoNormal">Looking at it another way, the timelines are:<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">24 hours if the Subscriber requests the cert (no certificate problem report)<u></u><u></u></p><p class="MsoNormal">48 hours if there is a key compromise (24 hour investigation + 24 hour to revoke)<u></u><u></u></p><p class="MsoNormal">8 days if the cert was issued to the wrong domain name or organization (7 day investigation + 24 hours to revoke) *<u></u><u></u></p><p class="MsoNormal">14 days for all other reasons<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">* My heartburn over how long this is to take care of.  8 days is a long time where domain validation failed.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I think the requirement to reply to the certificate problem report is built in by requiring the CA to work with the entity making the report. I don’t have a good idea on how to improve the escalation path.</p></div></div></blockquote><div><br></div><div>OK, good, then I wasn't misreading the proposal, and I think the broad strokes of that are a good balance between the community need and a reasonable amount of flexibility for CAs.</div></div></div></div>