<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Nov 1, 2017 at 10:12 AM, Mark Kosters <span dir="ltr"><<a href="mailto:markk@arin.net" target="_blank">markk@arin.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Andrew<br>
<br>
That was a good question – one that merited a bit of research on our part. Here’s what we have.<br>
<br>
Yes, ROAs can not be created with dates past the expiration of the hosted certificate.</blockquote><div>[snip]</div><div><br></div><div>Arbitrary certificate churning or expiration based on time of  credentials that have not been compromised</div><div>and the associated maintenance cost is a good reason to avoid  adopting RPKI in the first place.</div><div><br></div><div>Is there any adequate justification   they don't simply  use  an arbitrary value of 100,  200 Years or Infinite <br></div><div>expiration period, for all the certs,   in place of the   arbitrary value of 10?</div><div><br></div><div>So unless keys need to be manually revoked for valid security reasons,  there should be no </div><div>unnecessary certificate churn.</div><div><br></div><div>Also,  if you want the ROAs to be good for a reasonable length of time,  then that implies you'll need</div><div>a renewal of the hosted cert every year  you make new ROAs.    E.g.  To make ROAs valid for  9+ years,</div><div>then   you're   also then  needing to renew   the hosted cert every year   to keep its expiration a</div><div>sufficient number of years ahead into the future.</div><div><br></div><div><br></div><div>--</div><div>-Jimmy </div></div>
</div></div>