<div dir="auto"><div><div class="gmail_quote"><div dir="ltr">On Wed, May 30, 2018, 1:05 PM Hal Murray via devel <<a href="mailto:devel@ntpsec.org">devel@ntpsec.org</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
One of the key areas that I'm missing is the plans for deployment.  Are we <br>
intending to use the normal certificate distribution mechanism as used by the <br>
web?  That depends on time.  Is there a way around that?  Do we need our own <br>
certificate distribution mechanism?  Can we copy what DNSSEC does?  ...</blockquote></div></div><div dir="auto"><br></div><div dir="auto"></div><div dir="auto">IIRC draft 10 didn't specify any certificate signing or out of channel distribution.</div><div dir="auto"><br></div><div dir="auto">Instead I got the distinct impression that the certificate along with the s2c & c2s keys were transfered during the initial handshake on tcp123 (or other port).</div><div dir="auto"><br></div><div dir="auto">I also got the impression that the keys should only be good for 48 hours and depreceated for half that.</div><div dir="auto"><br></div><div dir="auto">The only thing I was able to notice was that an nts client would have to go through 8 NTP poll intervals after the keys expire before before starting another NTS KE session to get new keys.</div><div dir="auto"><br></div><div dir="auto">All of this is based on old information so I'm not sure how much of it is accurate anymore.</div></div>