
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Dec 18, 2013 at 3:23 PM, Eddy Nigg (StartCom Ltd.) <span dir="ltr"><<a href="mailto:eddy_nigg@startcom.org" target="_blank">eddy_nigg@startcom.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
  <div bgcolor="#FFFFFF" text="#000000">

    <br>

    On 12/19/2013 12:46 AM, From Hill, Brad:

    <div class="im"><blockquote type="cite">

      
      <div>

        <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I

            guess nobody knows what you’re talking about, then.<u></u><u></u></span></p>

        <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

        <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">If

            you mean that every individual end-user ought to manually

            associate certificates to website addresses in their

            browser(s) then naïve is not a strong enough word.<u></u><u></u></span></p>

        <p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

      </div>

    </blockquote>

    <br></div>

    But this is exactly how Diginotar was detected however - basically a

    few emails back I suggested that browser vendors nail the most

    important sites in their browser as "pins" and allow users to pin

    additional certificates to the respective sites. It's a very simple

    and efficient way to get some protection and allows detection for

    the most important sites.<br></div></blockquote><div><br></div><div>So your idea is that every end-user is capable of evaluating the security policy of the site, without input of the site operator?</div><div><br></div>

<div>And who do these users yell at when pins break? The browser? The site operator? Do they just unpin because 'Ooops, I shouldn't have pinned this?'</div><div><br></div><div>The suggesting that pinning is between user+browser, rather than site+browser, is certainly a far worse model, utterly incomprehensible and providing no value to end users.</div>

<div><br></div><div>Also, the idea that we should somehow balkanize the Internet, and only the "very important ones" get security, at the discretion of browsers, is a terrible one. CT provides protection for every single user and site operator on the Internet - surely you can agree that has value?</div>

<div><br></div><div>Regardless of the views of pinning, however, the continued failures of the WebTrust and ETSI audit schemes to "prevent" mis-issuance has demonstrated to root store operators that it is no longer acceptable for continued trust in CA operations. By requiring audits be transparent - which CT does - it provides a much better trust signal to root stores and their users that the participating CAs are deserving of trust. A simple audit letter from an AICPA accountant or a qualified auditor is no longer sufficient, as the continued events demonstrate.</div>

<div><br></div><div>That is yet another way in which CT and pinning are vastly different.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">


    <br>

    I assume it's the same thing Rick referred to a few emails back as

    well. It's something that can be implemented easily at the client

    software as Google has already shown and the interested folks that

    have some understanding can refine it for their use.<br>

    <br>

    I'm sure I'm not alone who uses the word "pinning" or to "pin a

    certificate" for this.</div></blockquote><div><br></div><div>If they do, I'm happy to explain why this is a terrible idea that would never work :)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div bgcolor="#FFFFFF" text="#000000"><div class="im"><br>

    <br>

    <br>

    <div>

      <table border="0" cellpadding="0" cellspacing="0">

        <tbody>

          <tr>

            <td colspan="2">Regards </td>

          </tr>

          <tr>

            <td colspan="2"> </td>

          </tr>

          <tr>

            <td>Signer: </td>

            <td>Eddy Nigg, COO/CTO</td>

          </tr>

          <tr>

            <td> </td>

            <td><a href="http://www.startcom.org" target="_blank">StartCom Ltd.</a></td>

          </tr>

          <tr>

            <td>XMPP: </td>

            <td><a>startcom@startcom.org</a></td>

          </tr>

          <tr>

            <td>Blog: </td>

            <td><a href="http://blog.startcom.org" target="_blank">Join the Revolution!</a></td>

          </tr>

          <tr>

            <td>Twitter: </td>

            <td><a href="http://twitter.com/eddy_nigg" target="_blank">Follow Me</a></td>

          </tr>

          <tr>

            <td colspan="2"> </td>

          </tr>

        </tbody>

      </table>

    </div>

    <br>

  </div></div>


</blockquote></div><br></div></div>