
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Dec 19, 2013 at 4:40 PM, Rick Andrews <span dir="ltr"><<a href="mailto:Rick_Andrews@symantec.com" target="_blank" class="cremed">Rick_Andrews@symantec.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div><p class="MsoNormal"><span style="color:#1f497d">Wayne,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">“What would a CA learn from a CT monitor that it wouldn’t know from its own database?” Anyone acting as a monitor would have to monitor _all_ logs, not just the one that the CA might be running. That’s how it would know more than what’s in its own db. The CA/monitor would thus be examining all certs issued by all CAs that logged them since the last time it checked.</span></p>

</div></div></blockquote><div><br></div><div>Every CA knows they have a relationship with their customers. As such, they're perfectly capable of offering monitoring as a value-add service for their customer.</div><div>

<br></div><div>Eg: "You've got <a href="http://example.com">example.com</a>, *.<a href="http://example.com">example.com</a>, and <a href="http://mail.example.com">mail.example.com</a> from us. However, we noticed that this small CA in Europe just issued a set of certs for domains under <a href="http://example.com">example.com</a>. Because we CA's proactively care about security, we wanted to reach out to you"</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div><p class="MsoNormal"><span style="color:#1f497d"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">I pointed out that the CT spec doesn’t define how a monitor learns about all the logs it needs to monitor, nor how it would learn that a log had become untrusted.</span></p>

</div></div></blockquote><div><br></div><div>That's not the point of the spec, however, much in the same way that RFC 5280 does not define what every trust root is or how a trust root is removed.</div><div><br></div><div>

Clients that implement CT will indicate the logs that they trust - much in the same way that they indicate the CAs that they trust or the public suffices that they recognize.</div><div><br></div><div>On the upside, operating a CT log is far *less* of a security risk to users, and thus *adding* CT logs to user agents is envisioned to be an incredibly simple task for log operators and vendors, and likely automatically updated. The risk of removing a CT only affects those CAs that trusted the log and the customers' whose certificates they have logged there, so it allows CAs far greater flexibility in choosing the appropriate guarantees - both in terms of availability (for their issuance) and security (to avoid distrusting).</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div><p class="MsoNormal"><span style="color:#1f497d"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">“What is the reasoning behind the belief that most monitors will be operated by CAs?” My guess is that it’s because we have the relationship with the customer.</span></p>

</div></div></blockquote><div><br></div><div>Exactly that. CAs are in the best position to know who their customers are, and already have channels with their customers. Whether or not a CA cares about protecting their users against misissuance is, of course, up to each individual CA, but considering how much has been said about the need to "restore trust in the ecosystem" - much of which has been lost due to CA misissuance or misbehaviour - it seems very much in line with the business interests of CAs to offer this.</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div><p class="MsoNormal"><span style="color:#1f497d"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">-Rick<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>

<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt"><div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:public-bounces@cabforum.org" target="_blank" class="cremed">public-bounces@cabforum.org</a> [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank" class="cremed">public-bounces@cabforum.org</a>] <b>On Behalf Of </b>Wayne Thayer<br>

<b>Sent:</b> Thursday, December 19, 2013 4:31 PM<br><b>To:</b> CABFPub<br><b>Subject:</b> [cabfpub] Question on CT: Monitoring<u></u><u></u></span></p></div></div><div><div class="h5"><p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><I’m continuing to explore some of the questions I asked a few days ago, but starting a new thread since the old one has moved on.><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">

The CT Website says this:<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif"">Most monitors will likely be operated by certificate authorities. This configuration lets certificate authorities build efficient monitors that are tailored to their own specific monitoring standards and requirements.<span><u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif""><u></u> <u></u></span></span></p><p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif"">Can someone explain what is envisioned with CAs running monitors?  I assumed that companies like Google would run monitors on their own domains or organizations like the EFF would audit all certificates for compliance.  What would a CA learn from a CT monitor that it wouldn’t know from its own database?<u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif""><u></u> <u></u></span></span></p><p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif"">I guess the obvious answer is that a compromised CA might not know about all of the certs it had issued?  But in that case those certs also wouldn’t have valid OCSP responses and could be detected via bad OCSP requests.<u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif""><u></u> <u></u></span></span></p><p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif"">I also understand that there may be value in the CA offering monitoring services to their customers if the CA decides they want to be in that business.<u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif""><u></u> <u></u></span></span></p><p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif"">What is the reasoning behind the belief that most monitors will be operated by CAs?<u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif""><u></u> <u></u></span></span></p><p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif"">Thanks,<u></u><u></u></span></span></p>

<p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif""><u></u> <u></u></span></span></p><p class="MsoNormal"><span><span style="background:white;font-size:10.0pt;font-family:"Verdana","sans-serif"">Wayne</span></span><u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p></div></div></div></div></div><br>_______________________________________________<br>

Public mailing list<br>

<a href="mailto:Public@cabforum.org" class="cremed">Public@cabforum.org</a><br>

<a href="https://cabforum.org/mailman/listinfo/public" target="_blank" class="cremed">https://cabforum.org/mailman/listinfo/public</a><br>

<br></blockquote></div><br></div></div>