<div dir="auto"><div>Given that this change impacts interoperability in a major way it should be a policy vote of the OMC IMHO.<div dir="auto"><br></div><div dir="auto">Tim.</div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 18 Jun 2020, 5:57 am Kurt Roeckx, <<a href="mailto:kurt@roeckx.be">kurt@roeckx.be</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, May 27, 2020 at 12:14:13PM +0100, Matt Caswell wrote:<br>
> PR 10787 proposed to reduce the number of security bits for MD5 and SHA1<br>
> in TLS (master branch only, i.e. OpenSSL 3.0):<br>
> <br>
> <a href="https://github.com/openssl/openssl/pull/10787" rel="noreferrer noreferrer" target="_blank">https://github.com/openssl/openssl/pull/10787</a><br>
> <br>
> This would have the impact of meaning that TLS < 1.2 would not be<br>
> available in the default security level of 1. You would have to set the<br>
> security level to 0.<br>
> <br>
> In my mind this feels like the right thing to do. The security bit<br>
> calculations should reflect reality, and if that means that TLS < 1.2 no<br>
> longer meets the policy for security level 1, then that is just the<br>
> security level doing its job. However this *is* a significant breaking<br>
> change and worthy of discussion. Since OpenSSL 3.0 is a major release it<br>
> seems that now is the right time to make such changes.<br>
> <br>
> IMO it seems appropriate to have an OMC vote on this topic (or should it<br>
> be OTC?). Possible wording:<br>
<br>
So should that be an OMC or OTC vote, or does it not need a vote?<br>
<br>
<br>
Kurt<br>
<br>
</blockquote></div></div></div>