<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.apple-converted-space
        {mso-style-name:apple-converted-space;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>Wayne,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>“What would a CA learn from a CT monitor that it wouldn’t know from its own database?” Anyone acting as a monitor would have to monitor _all_ logs, not just the one that the CA might be running. That’s how it would know more than what’s in its own db. The CA/monitor would thus be examining all certs issued by all CAs that logged them since the last time it checked.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>I pointed out that the CT spec doesn’t define how a monitor learns about all the logs it needs to monitor, nor how it would learn that a log had become untrusted.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>“What is the reasoning behind the belief that most monitors will be operated by CAs?” My guess is that it’s because we have the relationship with the customer.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>-Rick<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> public-bounces@cabforum.org [mailto:public-bounces@cabforum.org] <b>On Behalf Of </b>Wayne Thayer<br><b>Sent:</b> Thursday, December 19, 2013 4:31 PM<br><b>To:</b> CABFPub<br><b>Subject:</b> [cabfpub] Question on CT: Monitoring<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><I’m continuing to explore some of the questions I asked a few days ago, but starting a new thread since the old one has moved on.><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>The CT Website says this:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'>Most monitors will likely be operated by certificate authorities. This configuration lets certificate authorities build efficient monitors that are tailored to their own specific monitoring standards and requirements.<span class=apple-converted-space><o:p></o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'><o:p> </o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'>Can someone explain what is envisioned with CAs running monitors?  I assumed that companies like Google would run monitors on their own domains or organizations like the EFF would audit all certificates for compliance.  What would a CA learn from a CT monitor that it wouldn’t know from its own database?<o:p></o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'><o:p> </o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'>I guess the obvious answer is that a compromised CA might not know about all of the certs it had issued?  But in that case those certs also wouldn’t have valid OCSP responses and could be detected via bad OCSP requests.<o:p></o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'><o:p> </o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'>I also understand that there may be value in the CA offering monitoring services to their customers if the CA decides they want to be in that business.<o:p></o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'><o:p> </o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'>What is the reasoning behind the belief that most monitors will be operated by CAs?<o:p></o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'><o:p> </o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'>Thanks,<o:p></o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'><o:p> </o:p></span></span></p><p class=MsoNormal><span class=apple-converted-space><span style='font-size:10.0pt;font-family:"Verdana","sans-serif";color:black;background:white'>Wayne</span></span><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p></div></div></body></html>