<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Feb 22, 2020 at 8:08 PM John-Mark Gurney <<a href="mailto:jmg@funkthat.com">jmg@funkthat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Patrick Chkoreff wrote this message on Sat, Feb 22, 2020 at 18:23 -0500:<br>
> Henry Baker wrote on 2/22/20 12:04 PM:<br>
> <br>
> > <a href="https://www.theregister.co.uk/2020/02/20/apple_shorter_cert_lifetime/" rel="noreferrer" target="_blank">https://www.theregister.co.uk/2020/02/20/apple_shorter_cert_lifetime/</a><br>
> ...<br>
> > We note Let's Encrypt issues free HTTPS certificates that expire after<br>
> > 90 days, and provides tools to automate renewals, so those will be<br>
> > just fine â?????? and they are used all over the web now.<br>
> <br>
> Yes, the auto-renewal works beautifully and eliminates a world of<br>
> headaches.  I suspect that Apple's move will accelerate the adoption of<br>
> Let's Encrypt, now that everyone will have to renew more often.<br>
<br>
Or at least force other CA's to adaopt the ACME api to issue certs.<br>
<br>
Overall, it's a good thing, and IMO, even 90 days is a bit long.  With<br>
automated renewal, 7-30 days is more than long enough.<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">With automated renewal, limit validity to 7 days and renew daily. No need for OCSP or CRLs.</div></div></div>