<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 23, 2017 at 3:25 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-3056254852371415413WordSection1"><p class="MsoNormal">Hmm  - that does seem long.  What if we keep the investigation to 24 hours and change revocation to 24 hours/2 weeks? There’s no reason for the CA to delay investigating any issue.</p></div></div></blockquote><div><br></div><div>I wasn't trying to suggest it's long. I think we've seen some CAs want to investigate, such as relevant RFCs, errata, document and change control history, etc. That it is bounded at an upper-bound (by 14 days) keeps it within a reasonable frame. If a CA wants more time, they should be proactively internally reviewing for compliance :)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-3056254852371415413WordSection1"><p class="MsoNormal">For transparency, what do you suggest?  I left it the same as today. Perhaps state that the CA MUST reply to the certificate problem reporter about its decision within 3 days?</p></div></div></blockquote><div><br></div><div>I know we'd previously talked about reports to <a href="mailto:public@cabforum.org">public@cabforum.org</a>, in line with how 9.16.3 is handled for local law, but the fact that we have a maximum cap at 14 days for revocation does, I think, reduce the risk. I'm also sensitive to the fact that running any form of 'security bug queue' will result in absolutely terrible submissions that are fundamentally incorrect, and I don't want to further impose additional costs for having to deal with junk-reports.</div><div><br></div><div>My concern is that CAs who receive problem reports would be incentivized to close them as "not an issue", and thus force the root stores to get involved, but that's arguably the status quo today. I think root stores that want to address this would have a variety of tools - for example, requiring quarterly disclosures of the number of problem reports received, responded to, etc - that could address some of those high-level concerns, hopefully without introducing significant burden for junk reports. After all, today, if a CA gets a junk report, there's also zero disclosure requirements - so I'm not terribly convinced we need to solve that problem as well, provided that the cap at 14 days stands.</div></div><br></div></div>