<div dir="ltr"><div dir="ltr">See <a href="https://github.com/BenWilson-Mozilla/servercert/commit/26bd5a9f9f8bd2a251153a4cceb6226b859a3464">https://github.com/BenWilson-Mozilla/servercert/commit/26bd5a9f9f8bd2a251153a4cceb6226b859a3464</a></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Feb 15, 2021 at 11:44 AM Ben Wilson <<a href="mailto:bwilson@mozilla.com">bwilson@mozilla.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>I have created a GitHub branch to make changes in for this ballot.<br></div><div><a href="https://github.com/BenWilson-Mozilla/servercert/tree/398-day-FQDN-validation/docs" target="_blank">https://github.com/BenWilson-Mozilla/servercert/tree/398-day-FQDN-validation/docs</a> <br></div><div>I intend to replace "thirteen months" in section 11.14.3 of the EV Guidelines with "398 days". <br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Feb 9, 2021 at 5:03 PM Ben Wilson via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"></div>All,<br><div class="gmail_quote"><div dir="ltr"><div><span style="font-family:arial,sans-serif"><font size="4"><br><u><span style="line-height:107%"></span></u></font></span></div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><span style="font-family:arial,sans-serif"><font size="4"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%"><span style="line-height:107%">Amend BR section 3.2.2.5.1 and possibly make the Random Value valid for only 30 days or 60 days because what is meant by "if the Applicant submitted the certificate request"?  Otherwise, just editing out some of the existing language it would read something like,</span></span></span></span><span style="line-height:107%"> "If a Random
Value is used, the CA SHALL provide a Random Value unique to the certificate
request and SHALL not use the Random Value after the longer of (i) 30 days or
(ii) if the Applicant submitted the certificate request, 398 days," but someone should explain how that makes any sense.</span></font></span></div></div></blockquote><div><br></div><div>I seem to recall that harmonizing the Random Value (which, I agree, is also a good change) touches a few other sections. In particular, we identified previously that the (ii) is an anti-pattern; that is, that the Random Value should be valid 30 days or less, and it's the cached validation that is reused after that, rather than the Random Value itself. We updated several of the places, but not all. That is, 3.2.2.4.7 also needs to be cleaned up</div><div> </div></div></div></blockquote><div>
Can someone propose alternative language that says what was intended (i.e. "cached validation" as indicated by Ryan)?  Otherwise, in BR section 3.2.2.4.7 (DNS Change) and BR section 3.2.2.5.1 (Agreed Upon Change to Website), as part of this proposed ballot, I intend to limit use of the Random Value to 30 days and delete the phrase "ii. if the Applicant submitted the Certificate request, the timeframe permitted for reuse of validated information relevant to the Certificate (such as in Section 4.2.1 of these Guidelines or Section 11.14.3 of the EV Guidelines)"  because it makes no sense as currently worded. In any event, even the structure is bad because it combines two unrelated conditions into one concept. In other words, it wouldn't make sense to say the longer of (i) 30 days or (ii) 398 days for cached validations.  As proposed by the ballot, the 398-day limit will apply to all methods of validation. <br></div><div><br></div><div>I am still a little unclear on the intent of the language in (ii).  Would the intent have been better served if that second part had been placed in a separate sentence? E.g., "The same Random Value may also be used for submitting subsequent certificate requests for the same domain for the timeframe permitted for reuse ...."  </div><div><br></div><div>Thanks,</div><div><br></div><div>Ben<br></div></div></div>
_______________________________________________<br>
Servercert-wg mailing list<br>
<a href="mailto:Servercert-wg@cabforum.org" target="_blank">Servercert-wg@cabforum.org</a><br>
<a href="https://lists.cabforum.org/mailman/listinfo/servercert-wg" rel="noreferrer" target="_blank">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><br>
</blockquote></div>
</blockquote></div></div>