<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 4, 2017 at 10:54 PM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-8455330390940887081WordSection1"><span class=""><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><p class="MsoNormal"><br>Pre-signing OCSP responses for these certs is a waste of time as they’ll expire before the OCSP is ever delivered. <u></u><u></u></p></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Delivered to who? Are you saying you deliver certificates before you've produced OSP responses?<u></u><u></u></p></div></span><div><ul style="margin-top:0in" type="disc"><li class="m_-8455330390940887081MsoListParagraph">If we pre-sign an OCSP response for a 15 min cert, the OCSP is rarely used.</li></ul></div></div></div></blockquote><div><br></div><div>But that's different than what you said - you indicated that 15 minutes is because the OCSP is delivered, and I was trying to understand delivered to who/what?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-8455330390940887081WordSection1"><div><div><div><div><div><ul style="margin-top:0in" type="disc"><li class="m_-8455330390940887081MsoListParagraph"><u></u><u></u></li></ul></div><span class=""><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="MsoNormal">When you are signing certs daily, even signing that first OCSP response eats up lots of processing power without providing any benefit to the user.  Removing OCSP for short-lived certs eliminates an external call to the CA <u></u><u></u></p></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Stapling<u></u><u></u></p></div></span><div><ul style="margin-top:0in" type="disc"><li class="m_-8455330390940887081MsoListParagraph">These are usually on a home network. Getting an OCSP response to staple through the firewall usually doesn’t happen</li></ul></div></div></div></div></div></div></div></blockquote><div>Can you explain how you deliver a cert, but cannot deliver an OCSP response for said cert?</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-8455330390940887081WordSection1"><p class="m_-8455330390940887081MsoListParagraph" style="margin-left:0in;text-indent:0in"><u></u><span>-<span style="font:7.0pt "Times New Roman"">                      </span></span><u></u>Clock skew is a problem. That is the assumption.  But that’s not really relevant to the OCSP issue right? That’s more an issue with certificate lifecycles. My contention is that OCSP provides little value in the context of a three day, or less, cert.</p></div></div></blockquote></div>Well, your stated objective is to support lifetimes for as low as 15 minutes. If this objective is not reasonable - or is detrimental - then the need to not include revocation information no longer there, right? Or are there other reasons that weren't enumerated?</div></div>