<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 12, 2021 at 1:11 PM Dimitris Zacharopoulos (HARICA) <<a href="mailto:dzacharo@harica.gr">dzacharo@harica.gr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div>
    <br>
    <br>
    <div>On 12/3/2021 6:47 μ.μ., Ryan Sleevi
      wrote:<br>
    </div>
    <blockquote type="cite">
      
      <div dir="ltr">Dimitris,
        <div><br>
        </div>
        <div>Given the length of discussion here, are you aware of
          systems not yet conforming? Perhaps you can speak about what
          concrete (rather than abstract) difficulties there would be?</div>
        <div><br>
        </div>
        <div>That's not to say an effective date is a forgone
          conclusion, but I think as a Forum, we're much more productive
          when members with concrete concerns bring them forward, rather
          than abstracts "on behalf of someone else". For example, what
          challenges might HARICA face? Understanding that would help
          both make better ballots, and perhaps highlight industry good
          practices from other CAs that HARICA could adopt so that these
          aren't concerns in the future.</div>
      </div>
    </blockquote>
    <br>
    CAs need to update their validation code to allow ONLY these
    specific HTTP responses for redirects. This also needs to be applied
    consistently, including ACME implementations that may not currently
    support this configuration option. For example, I believe EJBCA does
    not have this option for their ACME server engine component.<br>
    <br>
    For HARICA, it's easy to update the main RA code but we currently
    rely on EJBCA for ACME and that might cause some delays.<br>
    <br>
    I hope this helps.<br></div></blockquote><div><br></div><div>Yup! Makes total sense now :) </div></div></div>