<div dir="ltr">Just reflecting to the list that I filed <a href="https://github.com/cabforum/servercert/issues/326">https://github.com/cabforum/servercert/issues/326</a> <div><br></div><div>This came up while working through the validity periods portion of the certificate profiles work. For technically constrained TLS sub-CAs, the validity period is presently undefined, but these certificates rest on assumptions about domain validation practices in Section 3.2.2.4 and Section 3.3.2.5. Combined with the audit exception and (optional) CAA exemption, this creates the opportunity for skipping domain validation and/or assumptions based on stale data.</div><div><br></div><div>There are suggestions for moderate fixes, which seem to go beyond the scale/remit of the profiles work (that is, even if some of this was tackled in Profiles v2, there's other work outside of profiles needed), but it seems to be worth tackling.</div></div>