<div dir="ltr">Section 6.1.1.3 (4) of the Baseline Requirements (as of Ballot SC-073) says "The CA SHALL reject a certificate request if... the CA has previously been notified that the Applicant's Private Key has suffered a Key Compromise using the CA's procedure for revocation request".<br>Section 4.9.1.1 (3) of the Baseline Requirements says "The CA SHALL revoke a Certificate within 24 hours... if... the CA obtains evidence that the Subscriber's Private Key... suffered a Key Compromise".<br><br><div>Imagine the following hypothetical:<br>1. A CA issues a certificate containing a particular public key.<br>2. The private key corresponding to that public key is compromised, and this compromise is reported via the CA's revocation request procedure.<br>3. _Immediately_ thereafter, the CA receives another request for a certificate containing the same public key.<br><br>Is the CA required to reject the certificate request in Step 3?<br><br>Arguments for "yes":<br>* By virtue of being notified via the revocation request procedure, the CA has been made aware of the compromise, and therefore must reject it.<br><br>Arguments for "no":<br>* It is obviously impossible for a CA to _immediately_ begin rejecting such requests; this is why CAs have a 24-hour timeline for revocation.<br>* The relevant text in Section 4.9.1.1 uses the phrase "obtains evidence" rather than "made aware", so perhaps the CA is only "made aware" of the key compromise somewhere later in the revocation and blocking process.<br><br>If I were to propose a ballot which introduces a 24-hour timeline into Section 6.1.1.3 (4), would others be willing to endorse?<br></div><div><br></div><div>Thanks,</div><div>Aaron</div></div>