<div dir="ltr">Sure, but this didn't answer my questions, and I'm guessing was just a quick reply.<div><br></div><div>I questioned both the motive and the problem statement, and it didn't seem like there were good answers. I'm hoping you could revisit, and we can see how much of a problem this is in actual practice.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 5, 2017 at 3:23 AM, Jeremy Rowley <span dir="ltr"><<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_-4793785187271719072WordSection1"><p class="MsoNormal">For a short-lived cert that is truly short-lived, you never deliver a meaningful response.  Of course, there’s always an initial “good” response for an initially issued cert, but that only tells me it was issued.  By the time I sign a new response, the cert is expired.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I’m not sure why people are requesting 15 min or 8 hour certs. We can do them, but then we need to sign an OCSP response as well. <a name="m_-4793785187271719072__MailEndCompose">Requiring OCSP on these certs doesn’t mean that the certs don’t exist. </a><span><u></u><u></u></span></p><p class="MsoNormal"><span><u></u> <u></u></span></p><span></span><p class="MsoNormal"><b>From:</b> Ryan Sleevi [mailto:<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>] <br><b>Sent:</b> Wednesday, October 4, 2017 11:58 PM<br><b>To:</b> Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>><br><b>Cc:</b> CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br><b>Subject:</b> Re: [cabfpub] Short-lived certs<u></u><u></u></p><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Wed, Oct 4, 2017 at 10:54 PM, Jeremy Rowley <<a href="mailto:jeremy.rowley@digicert.com" target="_blank">jeremy.rowley@digicert.com</a>> wrote:<u></u><u></u></p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><p class="MsoNormal"><br>Pre-signing OCSP responses for these certs is a waste of time as they’ll expire before the OCSP is ever delivered. <u></u><u></u></p></blockquote><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal">Delivered to who? Are you saying you deliver certificates before you've produced OSP responses?<u></u><u></u></p></div><div><ul type="disc"><li class="MsoNormal">If we pre-sign an OCSP response for a 15 min cert, the OCSP is rarely used.<u></u><u></u></li></ul></div></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">But that's different than what you said - you indicated that 15 minutes is because the OCSP is delivered, and I was trying to understand delivered to <a href="https://teams.googleplex.com/u/what" target="_blank">who/what</a>?<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><div><div><div><div><div><ul type="disc"><li class="MsoNormal"><u></u> <u></u></li></ul></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><p class="MsoNormal">When you are signing certs daily, even signing that first OCSP response eats up lots of processing power without providing any benefit to the user.  Removing OCSP for short-lived certs eliminates an external call to the CA <u></u><u></u></p></div></div></blockquote><div><p class="MsoNormal"> <u></u><u></u></p></div><div><p class="MsoNormal">Stapling<u></u><u></u></p></div><div><ul type="disc"><li class="MsoNormal">These are usually on a home network. Getting an OCSP response to staple through the firewall usually doesn’t happen<u></u><u></u></li></ul></div></div></div></div></div></div></div></blockquote><div><p class="MsoNormal">Can you explain how you deliver a cert, but cannot deliver an OCSP response for said cert?<u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><div><p class="m_-4793785187271719072m-8455330390940887081msolistparagraph">-<span style="font-size:7.0pt;font-family:"Times New Roman",serif">                      </span>Clock skew is a problem. That is the assumption.  But that’s not really relevant to the OCSP issue right? That’s more an issue with certificate lifecycles. My contention is that OCSP provides little value in the context of a three day, or less, cert.<u></u><u></u></p></div></div></blockquote></div><p class="MsoNormal">Well, your stated objective is to support lifetimes for as low as 15 minutes. If this objective is not reasonable - or is detrimental - then the need to not include revocation information no longer there, right? Or are there other reasons that weren't enumerated?<u></u><u></u></p></div></div></div></div></div></div></blockquote></div><br></div>