<p dir="ltr"><br>
On Dec 18, 2013 11:14 AM, "Rick Andrews" <<a href="mailto:Rick_Andrews@symantec.com">Rick_Andrews@symantec.com</a>> wrote:<br>
><br>
> Moving back to the public list, with Eddy’s permission.<br>
><br>
>  <br>
><br>
> I agree with Eddy that pinning appears to be a very effective and low-cost solution. </p>
<p dir="ltr">Pinning is not a low-cost system, nor is it at all a solution to all the problems that CT addresses.</p>
<p dir="ltr">> My impression is that many of the past mis-issuances were detected by Chrome’s pinning support. Is that accurate?<br>
></p>
<p dir="ltr">While it is well known that some incidences (such as Diginotar) were caught by pinning, they only were effective through users recognizing something is amiss and contacting Google.</p>
<p dir="ltr">I have trouble imagining a world in which the operational costs of millions of server operators and the diligence and training of billions of users to report to "someone" when they "see something," all for a solution that is only a fraction as capable of CT, would somehow be either desirable or low-cost.</p>

<p dir="ltr">Let me reiterate that pinning and CT seek to address different problem spaces, with a different set of trade-offs. Suggesting pinning as an alternative to CT is, on a very real and technical level, akin to suggesting we do away with WebTrust/ETSI audits entirely, and let pinning suffice. CT is complimentary to the existing auditing frameworks AND has the benefit of providing detection capabilities where there are none.</p>

<p dir="ltr">To further belabor the beating of the straw man, why bother with the BRs at all, and not just let browsers enforce technical requirements on the client side? After all, the UA will reject such certs, so no harm, no foul?</p>

<p dir="ltr">CT is about improving trust and auditability in a system that operates opaquely and has repeatedly failed to adhere to its own standards.</p>
<p dir="ltr">The minimal adoption of pinning, compared to the ever increasing academic research into the CA ecosystem, coupled with the repeated failures of many CAs to adhere to their stated CP/CPSes, should hopefully clearly show that the set of problems are not equivalent.</p>

<p dir="ltr">>  <br>
><br>
> -Rick<br>
><br>
>  <br>
><br>
> From: <a href="mailto:management-bounces@cabforum.org">management-bounces@cabforum.org</a> [mailto:<a href="mailto:management-bounces@cabforum.org">management-bounces@cabforum.org</a>] On Behalf Of Eddy Nigg (StartCom Ltd.)<br>

> Sent: Wednesday, December 18, 2013 9:56 AM<br>
><br>
> To: '<a href="mailto:management@cabforum.org">management@cabforum.org</a>'<br>
> Subject: Re: [cabfman] Improving the security of EV Certificates<br>
><br>
>  <br>
><br>
><br>
> On 12/18/2013 07:28 PM, From Jeremy Rowley:<br>
><br>
> Pinning is more risky for unsophisticated users who could brick their systems. <br>
><br>
><br>
> I don't think so....such users would never use it, the same way such users would never investigate a log or list of certificates. <br>
><br>
><br>
> Plus, pinning becomes a market divider so I’d worry about anti-trust violations if the recommendation came from the CAB Forum.  <br>
><br>
><br>
> How come, can you explain?<br>
><br>
><br>
> Transparency, in my view, is better because it requires a change only by the CAs and browsers, not by the users.  The information is then available for any researcher to digest and evaluate, not just the end user.<br>

><br>
><br>
> It's mostly the competing CAs!!!, software vendors, Netcraft and friends, and some researchers that care about it (EFF, Qualsys and some others). It's the same crowd that would use pinning too.<br>
><br>
><br>
> A headache is when another DigiNotar is compromised , issues a couple thousand certificates fraudulently, and covers it up for several months. <br>
><br>
><br>
> Truly a problem, but may be attacked from a different angel (how about different approach  to auditing?). I mean, we are doing our utmost to comply to all the various requirements and much more than that - a price we are willing  to pay because for this we are here. Now this proposal has a significant price tag for something that hasn't been tested and used over time with the "only" goal to detect the next DigiNotar.<br>

><br>
> IMO pinning can achieve the same way cheaper (for me). And again, if we could combine revocation for example, the benefit would be much bigger and trade off the expenses/efforts...<br>
><br>
> Regards <br>
><br>
>  <br>
><br>
> Signer: <br>
><br>
> Eddy Nigg, COO/CTO<br>
><br>
>  <br>
><br>
> StartCom Ltd.<br>
><br>
> XMPP: <br>
><br>
> <a href="mailto:startcom@startcom.org">startcom@startcom.org</a><br>
><br>
> Blog: <br>
><br>
> Join the Revolution!<br>
><br>
> Twitter: <br>
><br>
> Follow Me<br>
><br>
>  <br>
><br>
>  <br>
><br>
><br>
> _______________________________________________<br>
> Management mailing list<br>
> <a href="mailto:Management@cabforum.org">Management@cabforum.org</a><br>
> <a href="https://cabforum.org/mailman/listinfo/management">https://cabforum.org/mailman/listinfo/management</a><br>
><br>
</p>