<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Dec 18, 2013 at 5:16 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank">Rick_Andrews@symantec.com</a>></span> wrote:</div>
<div class="gmail_quote"><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">I concede that CT and pinning don't accomplish the same thing. They can both detect if a certificate was mis-issued for an existing web site that the domain owner knows about (say, <a href="http://www.example.com" target="_blank">www.example.com</a>), but pinning cannot detect that a certificate was mis-issued for a web site that the domain owner doesn't know about (say, <a href="http://myfakesite.example.com" target="_blank">myfakesite.example.com</a>). This is a shortcoming of pinning that was not apparent to me until now.<br>
</blockquote><div><br></div><div><a href="http://tools.ietf.org/html/draft-ietf-websec-key-pinning-09#section-2.1.2">http://tools.ietf.org/html/draft-ietf-websec-key-pinning-09#section-2.1.2</a></div></div></div></div>