
<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;">Yeah I’m not sure precisely why my preference switched from odd to even months, but I think it was based on a comment at some point that people wanted to avoid November as well as December (due to holiday shutdown-type things), which perhaps I extrapolated out further than the comment intended… regardless, even or odd months I could go either way. But limiting to two dates per year is more than a step too far in my mind.<div><br></div><div>Cheers,</div><div>-Clint<br><div><br><blockquote type="cite"><div>On May 26, 2023, at 9:19 AM, Tim Hollebeek <tim.hollebeek@digicert.com> wrote:</div><br class="Apple-interchange-newline"><div><meta charset="UTF-8"><div class="WordSection1" style="page: WordSection1; caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">There have been a couple people discussing a limit of two per year, but those people are going beyond what I’ve been trying to get people to do, which as a reminder, is the 15<sup>th</sup><span class="Apple-converted-space"> </span>day of odd months.  Easy to remember, and misses most major holidays.  Clint appears to have a different parity preference from my original proposal<span class="Apple-converted-space"> </span><span style="font-family: "Segoe UI Emoji", sans-serif;">😊</span>  I don’t really care, as long as we have 6 instead of 366 possibilities.  By having a date available every other month, no deadline ever has to move more than about 30 days to find an acceptable date, and there are very few cases where 30 days difference in effective date actually matters in practice.<o:p></o:p></div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">-Tim<o:p></o:p></div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div><div style="border-width: medium medium medium 1.5pt; border-style: none none none solid; border-color: currentcolor currentcolor currentcolor blue; border-image: none; padding: 0in 0in 0in 4pt;"><div><div style="border-width: 1pt medium medium; border-style: solid none none; border-color: rgb(225, 225, 225) currentcolor currentcolor; border-image: none; padding: 3pt 0in 0in;"><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><b>From:</b><span class="Apple-converted-space"> </span>Servercert-wg <<a href="mailto:servercert-wg-bounces@cabforum.org" style="color: blue; text-decoration: underline;">servercert-wg-bounces@cabforum.org</a>><span class="Apple-converted-space"> </span><b>On Behalf Of<span class="Apple-converted-space"> </span></b>Clint Wilson via Servercert-wg<br><b>Sent:</b><span class="Apple-converted-space"> </span>Friday, May 26, 2023 11:45 AM<br><b>To:</b><span class="Apple-converted-space"> </span>Tom Zermeno <<a href="mailto:tom@ssl.com" style="color: blue; text-decoration: underline;">tom@ssl.com</a>>; ServerCert CA/BF <<a href="mailto:servercert-wg@cabforum.org" style="color: blue; text-decoration: underline;">servercert-wg@cabforum.org</a>><br><b>Subject:</b><span class="Apple-converted-space"> </span>Re: [Servercert-wg] SC-59 Weak Key Guidance<o:p></o:p></div></div></div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">Hi Tom, Dimitris,<o:p></o:p></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">I continue to be opposed to the SCWG trying to limit effective dates to 2 per year. I think it’s entirely reasonable to align on a day of the month (I think the 15th has broadly been the only one I’ve heard proposed). I think it’s reasonable to try to avoid January and December. I also think there may be value in trying to reduce the overall number of effective dates somewhat. The dates I’m personally in favor of aligning on are February, April, June, August, and October 15th.<o:p></o:p></div></div><div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">If there’s a particular penchant towards March and September, however, then I’d be unopposed to March, May, July, September, and November 15th. <o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">For this ballot in particular, I think October 15 or November 15 2023 are feasible targets for implementing these changes and would greatly prefer closing this issue (open now for<span class="Apple-converted-space"> </span><u>more than 3 years</u>) sooner than later, especially given the number of incidents we’ve seen in the last years related to weak key vulnerabilities and CAs issuing certificates with weak keys.<o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">Thanks,<o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">-Clint<o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><br><br><o:p></o:p></div><blockquote style="margin-top: 5pt; margin-bottom: 5pt;"><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">On May 26, 2023, at 7:37 AM, Tom Zermeno via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" style="color: blue; text-decoration: underline;">servercert-wg@cabforum.org</a>> wrote:<o:p></o:p></div></div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div><div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">Hello Dimitris,<o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"> <o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">Thank you for the input.  We feel that September 15<sup>th</sup><span class="apple-converted-space"> </span>does not provide enough time for CAs to implement these changes, but we are not against the March 15,<span class="apple-converted-space"> </span><sup> </sup>2024 effective date, if there is consensus from the Community.<span class="apple-converted-space"> </span><o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"> <o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">Thank you,<o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"> <o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">Tom<o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><a href="https://url.avanan.click/v2/___http:/ssl.com/___.YXAzOmRpZ2ljZXJ0OmE6bzozMmEwZjBiOWE3OGI4Mzg1M2JmYTg0MzJmNmQxNWU0Nzo2OjYzMjE6ZTQ4ZGE3N2YxMjg1M2NlYTFmOWIxOGZmMjg4MWUzNjVhOGYzZTY5ZGFjNDQ4ZTA3YTQwYzMxYWRlOWFiOWJlNDpoOkY" title="Protected by Avanan: http://ssl.com/" style="color: blue; text-decoration: underline;">SSL.com</a><o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"> <o:p></o:p></div></div><div><div style="border-width: 1pt medium medium; border-style: solid none none; padding: 3pt 0in 0in; border-color: currentcolor; border-image: none;"><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><b>From:</b><span class="apple-converted-space"> </span>Servercert-wg <<a href="mailto:servercert-wg-bounces@cabforum.org" style="color: blue; text-decoration: underline;">servercert-wg-bounces@cabforum.org</a>><span class="apple-converted-space"> </span><b>On Behalf Of<span class="apple-converted-space"> </span></b>Dimitris Zacharopoulos (HARICA) via Servercert-wg<br><b>Sent:</b><span class="apple-converted-space"> </span>Friday, May 26, 2023 1:54 AM<br><b>To:</b><span class="apple-converted-space"> </span><a href="mailto:servercert-wg@cabforum.org" style="color: blue; text-decoration: underline;">servercert-wg@cabforum.org</a><br><b>Subject:</b><span class="apple-converted-space"> </span>Re: [Servercert-wg] SC-59 Weak Key Guidance<o:p></o:p></div></div></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"> <o:p></o:p></div></div><p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 11pt; font-family: Calibri, sans-serif;"><br>Hi Tom,<br><br>Historically, the SCWG has been trying to avoid effective dates during January or December. I recommend using September 15, 2023 or March 15, 2024 as possible effective dates. These two dates seem to be<span class="apple-converted-space"> </span><a href="https://url.avanan.click/v2/___https:/docs.google.com/presentation/d/1oTGVYqggQpQMR4Lktbu_L6DhuBVJzeuiFGd9EAU1zsE___.YXAzOmRpZ2ljZXJ0OmE6bzozMmEwZjBiOWE3OGI4Mzg1M2JmYTg0MzJmNmQxNWU0Nzo2OjNhZDU6ZGYwZmJlNGYyMzU2OGZhMzM5MTRiNDliNDM5OWVjMTk5ZTNjNGZmODhhZDA1MjRkYzZkZmY4MzMxZjZiNjkwZjpoOkY" title="Protected by Avanan: https://docs.google.com/presentation/d/1oTGVYqggQpQMR4Lktbu_L6DhuBVJzeuiFGd9EAU1zsE" style="color: blue; text-decoration: underline;">more favorable</a><span class="apple-converted-space"> </span>than others.<span class="apple-converted-space"> </span><br><br><br>Thanks,<br>Dimitris.<o:p></o:p></p><div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;">On 25/5/2023 10:51 μ.μ., Tom Zermeno via Servercert-wg wrote:<o:p></o:p></div></div></div><blockquote style="margin-top: 5pt; margin-bottom: 5pt;"><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">Purpose of Ballot SC-059 V3</span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">Several events within the community have led to concerns that the Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates (BRs) lacked a specificity required to properly guide CAs on matters dealing with the identification and processing of digital certificates based on private keys considered weak, or easy to ascertain.  In the hopes that elaboration and clarity on the subject would be beneficial to the community, we are presenting updates to §4.9.1.1(“Reasons for Revoking a Subscriber Certificate) and §6.1.1.3 (Subscriber Key Pair Generation) of the BRs.</span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">The first update is to §4.9.1.1 and is made to expand the scope of easily computable Private Keys from “Debian weak keys” to “those listed in section 6.1.1.3(5)”.  While the initial language in the BRs did not exclude other concerns, the use of a single example could be interpreted to mean that other easily computable Private Keys are few and far between.  The next update was to §6.1.1.3(5), wherein we added specific actions to be taken for ROCA vulnerability, Debian weak keys - both RSA and ECDSA – and Close Primes vulnerability.  We also added a link to suggested tools to be used for checking weak keys. Finally, an implementation date of December 1, 2023 was added to allow CAs time to update processes to meet the requirements.</span><span class="apple-converted-space"> </span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">The following motion has been proposed by Thomas Zermeno of</span><span class="apple-converted-space"> </span><span class="normaltextrun"><a href="https://url.avanan.click/v2/___http:/ssl.com/___.YXAzOmRpZ2ljZXJ0OmE6bzozMmEwZjBiOWE3OGI4Mzg1M2JmYTg0MzJmNmQxNWU0Nzo2OmFiNzE6MDc5MWRkN2IwNzFjY2Q1N2JkZDJlZDg4ZmViNTI4OTA0ZDRkOGRiNjA2NzYzNmQ3MmZlYjgzNzk3YmQ2OGNlMDpoOkY" title="Protected by Avanan: http://ssl.com/" style="color: blue; text-decoration: underline;">SSL.com</a></span><span class="apple-converted-space"> </span><span class="normaltextrun">and endorsed by Ben Wilson of Mozilla and Martijn Katerbarg of Sectigo.</span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">--Motion Begins—</span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun"><span style="font-size: 12pt;">This ballot is intended to clarify CA responsibilities regarding weak key vulnerabilities, including specific guidance for Debian weak key, ROCA and Close Primes attack vulnerabilities, and modifies the “Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates” as follows, based on Version 2.0.0.</span></span><span class="apple-converted-space"><span style="font-size: 12pt;"> </span></span><span class="scxw53035567"><span style="font-size: 12pt;"> </span></span><span style="font-size: 12pt;"><br><span class="scxw53035567"> </span><br><span class="normaltextrun">Notes: Upon beginning discussion for SC-59, the then-current version of the BRs was 1.8.4; since that time several ballots have been approved, leading to the increment of the version to 1.8.7 and eventually 2.0.0, which is the latest approved version of the BRs.  The changes introduced in SC-59 do not conflict with any of the recent ballots. As observed with other ballots in the past, minor administrative updates must be made to the proposed ballot text before publication such that the appropriate Version # and Change History are accurately represented (e.g., to indicate these changes will be represented in Version 2.0.1).</span><span class="eop"> </span></span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun"> </span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">MODIFY the Baseline Requirements as specified in the following Redline:</span><span class="apple-converted-space"> </span><a href="https://url.avanan.click/v2/___https:/github.com/cabforum/servercert/compare/a0360b61e73476959220dc328e3b68d0224fa0b3...SSLcom:servercert:3b0c6de32595d02fbd96762cda98cdc88addef00___.YXAzOmRpZ2ljZXJ0OmE6bzozMmEwZjBiOWE3OGI4Mzg1M2JmYTg0MzJmNmQxNWU0Nzo2OjliZGQ6NjZkMTllYjUxZjYzMzZlMDZlOTUyMGQzNWU3NmFhMWYxOTNhYzg4ZGMyYWRlZWE5NGE3NWZlYTk3MTkzNjZhYzpoOkY" target="_blank" title="Protected by Avanan: https://github.com/cabforum/servercert/compare/a0360b61e73476959220dc328e3b68d0224fa0b3...SSLcom:servercert:3b0c6de32595d02fbd96762cda98cdc88addef00" style="color: blue; text-decoration: underline;"><span class="normaltextrun">https://github.com/cabforum/servercert/compare/a0360b61e73476959220dc328e3b68d0224fa0b3...SSLcom:servercert:3b0c6de32595d02fbd96762cda98cdc88addef00</span></a><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun"> </span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">--Motion Ends—</span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">This ballot proposes a Final Maintenance Guideline. The procedure for approval of this ballot is as follows:</span><span class="eop"> </span><o:p></o:p></p><p class="paragraph" style="margin-right: 0in; margin-left: 0in; font-size: 11pt; font-family: Calibri, sans-serif; vertical-align: baseline;"><span class="normaltextrun">Discussion (11+ days) • Start time: 2023-05-25 19:00:00 UTC • End time: 2023-06-08 18:59:00 UTC</span><span class="scxw53035567"> </span><br><span class="normaltextrun">Vote for approval (7 days) • Start time: TBD • End time: TBD</span><span class="eop"> </span><o:p></o:p></p><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"> <o:p></o:p></div></div><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><br><br><br><o:p></o:p></div></div><pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: "Courier New";">_______________________________________________<o:p></o:p></pre><pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: "Courier New";">Servercert-wg mailing list<o:p></o:p></pre><pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: "Courier New";"><a href="mailto:Servercert-wg@cabforum.org" style="color: blue; text-decoration: underline;">Servercert-wg@cabforum.org</a><o:p></o:p></pre><pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: "Courier New";"><a href="https://url.avanan.click/v2/___https:/lists.cabforum.org/mailman/listinfo/servercert-wg___.YXAzOmRpZ2ljZXJ0OmE6bzozMmEwZjBiOWE3OGI4Mzg1M2JmYTg0MzJmNmQxNWU0Nzo2OjMwMTg6MTM1ZGYxYWE2NGNkNGI2ZDJmNjdlZDk0MjU1MTAwYmYxNGY5ZTRhNGYyNGMyMmExZTk3OWI4MDlkZWZhMWZlMTpoOkY" title="Protected by Avanan: https://lists.cabforum.org/mailman/listinfo/servercert-wg" style="color: blue; text-decoration: underline;">https://lists.cabforum.org/mailman/listinfo/servercert-wg</a><o:p></o:p></pre></blockquote><div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"> <o:p></o:p></div></div><div style="margin: 0in; font-size: 11pt; font-family: Calibri, sans-serif;"><span style="font-size: 9pt; font-family: Helvetica, sans-serif;">_______________________________________________<br>Servercert-wg mailing list<br></span><a href="mailto:Servercert-wg@cabforum.org" style="color: blue; text-decoration: underline;"><span style="font-size: 9pt; font-family: Helvetica, sans-serif;">Servercert-wg@cabforum.org</span></a><span style="font-size: 9pt; font-family: Helvetica, sans-serif;"><br></span><a href="https://url.avanan.click/v2/___https:/lists.cabforum.org/mailman/listinfo/servercert-wg___.YXAzOmRpZ2ljZXJ0OmE6bzozMmEwZjBiOWE3OGI4Mzg1M2JmYTg0MzJmNmQxNWU0Nzo2OjBhZTA6YjJkMzJhYzhlMGVlZTlmY2NiNWEyYzk0NDNmMGVjNjU5ZmFmNTllZGI5OTU0Y2QwNmE2M2UwNjUzMjM2N2U4OTpoOkY" title="Protected by Avanan: https://lists.cabforum.org/mailman/listinfo/servercert-wg" style="color: blue; text-decoration: underline;"><span style="font-size: 9pt; font-family: Helvetica, sans-serif;">https://lists.cabforum.org/mailman/listinfo/servercert-wg</span></a></div></div></blockquote></div></div></div></div></div></blockquote></div><br></div></body></html>