<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 16, 2018 at 4:27 PM, Wayne Thayer <span dir="ltr"><<a href="mailto:wthayer@mozilla.com" target="_blank">wthayer@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span class="gmail-">On Wed, May 16, 2018 at 1:19 PM Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>> wrote:<br></span><div class="gmail_quote"><span class="gmail-"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On Wed, May 16, 2018 at 4:00 PM, Wayne Thayer via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Lat year, Jeremy proposed changes to section 4.9 of the BRs. I'd like to revive that discussion with the following ballot proposal: <a href="https://github.com/cabforum/documents/compare/master...wthayer:patch-1" target="_blank">https://github.com/cabforum/<wbr>documents/compare/master...<wbr>wthayer:patch-1</a></div><div><br></div><div>Summary of Changes:<br></div><div>* The first change creates a tiered timeline for revocations. The most critical "reasons" still require revocation within 24 hours, but for many others 24 hours becomes a SHOULD and the CA has 5 days before they MUST revoke. This was the original motivation for the ballot, due in part to last year's wave of misissued certs identified by linting tools.<br></div></div></blockquote><div><br></div><div>I'm not sure that matches my understanding or the early discussions. In several cases, it was a Subscriber self-own, and the risk that revocation was perceived as having impact to those subscribers.</div><div><br></div></div></div></div></blockquote><div>></div></span><div>That's fair. I'm unclear on the meaning of "Subscriber self-own", but agree that the concern was the impact a rushed revocation often has on the Subscriber and their website.</div></div></div></blockquote><div><br></div><div>The spate of widely distributed private keys from Subscribers that didn't understand that would fundamentally necessitate revocation. GitHub, Dropbox, and Blizzard were all examples of this, and all faced significant product impact because of it, because it meant updating binaries for millions of users, not just updating a server certificate.</div><div><br></div><div>The Subscriber did the damage to themselves, but it wasn't clear to them how colossal a bad idea it would be until, well, it happened. </div></div></div></div>