<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Aug 1, 2019 at 3:27 PM Doug Beattie via Validation <<a href="mailto:validation@cabforum.org">validation@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_-2069968527440857676WordSection1"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I replied to a couple of points below, but to summarize this discussions:<u></u><u></u></p><ol style="margin-top:0in" start="1" type="1"><li class="gmail-m_-2069968527440857676MsoListParagraph" style="margin-left:0in">The Proposer/endorsers will provide a good write up of why these changes are needed and why they are needed in the specified timeframe</li></ol></div></div></blockquote><div>For sure! To be clear, this was always on the table and the todo list :)</div><div><br></div><div>Because there seemed to be greater interest in looking at specific text, rather than reasoning, I wanted to try and get that part in front of folks, which is what I was trying to do on this thread. I'm 100% in agreement that any ballot needs to be clear about the why, as it goes to the ballot stage, and as folks look to co-endorse, we could collaborate and clarify those reasons with the actual ballot text.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="EN-US"><div class="gmail-m_-2069968527440857676WordSection1"><ol style="margin-top:0in" start="1" type="1"><li class="gmail-m_-2069968527440857676MsoListParagraph" style="margin-left:0in">Shortening the certificate validity and domain-re-use together is necessary to meet the intended goals<u></u><u></u></li><li class="gmail-m_-2069968527440857676MsoListParagraph" style="margin-left:0in">The reuse period for Organizational data is open for discussion and doesn’t necessarily need to be the same as the validity period</li></ol></div></div></blockquote><div>Right. I think that without shortening the organizational data, the value provided to relying parties is going to vary based on how the information was validated. That is, if the maximum is too great, there may not be any value in displaying it, and may be harmful to do so. But that's really a per-product/per-browser decision, and I'm fully happy to treat those orthogonally. In the worst case, if the reuse period was too great, browsers could always gate the display/use of that information to only CAs which they knew validated under the more frequent timescale, such as by separate audits to establish that. This would allow the BR audits to have the more general, less secure upper bound, but the benefit of not requiring CAs to do any changes to avoid qualified audits nor require all UAs to adopt the same policies simultaneously. The validity period and domain validation parts, however, are far more critical and impactful to user security, which is why I'm totally happy to treat them separate.<br></div></div></div>