<div dir="ltr"><div>I am loath to create this thread and to have two simultaneous discussions on the same topic in two different fora, but I want to see if the CA/Browser Forum is willing to incorporate substantially the same 398-day policy, as discussed below, in its Baseline Requirements and EV Guidelines. <br></div><div><br></div><div>On the Mozilla Dev Security Policy (mdsp) list (<a href="https://groups.google.com/g/mozilla.dev.security.policy/c/7TeSlHFIk5U/m/2ojwLrslBQAJ">https://groups.google.com/g/mozilla.dev.security.policy/c/7TeSlHFIk5U/m/2ojwLrslBQAJ</a>) and in the Mozilla policy issues list on GitHub (<a href="https://github.com/mozilla/pkipolicy/issues/206">https://github.com/mozilla/pkipolicy/issues/206</a>), Mozilla is considering amending subsection 5 of <a href="https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/#21-ca-operations">section 2.1 of the Mozilla Root Store Policy</a> to reduce the reuse of the validation of DNS Names and IP addresses to 398 days.</div><div><br></div><div>Currently, Mozilla is looking at making this requirement effective as of July 1, 2021, with some type of phase-in period, to-be-determined.<br></div><div><br></div><div>I intend to draft a ballot that would accomplish that same goal within BR section 4.2.1, and elsewhere as might be necessary in the Baseline Requirements and EV Guidelines. <br></div><div><br></div><div>To prime the discussion here, one issue discussed on the mdsp list is the phase-in, if any, of this 398-day requirement. I have suggested that sunsetting 825-day DNS/IP validations through 2023 is too long, given the validation methods now available per BR 3.2.2.4 and 3.2.2.5.  Would it be simpler just to prohibit, as of 7/1/2021, any reuse of DNS/IP validations older than 398 days? <br></div><div><br></div><div><br></div><div><br></div><div><br></div></div>