<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=gb2312"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:SimSun;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"\@SimSun";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:9.0pt;
        font-family:"Calibri","sans-serif";}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin:0in;
        margin-bottom:.0001pt;
        text-indent:21.0pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle21
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
p.a, li.a, div.a
        {mso-style-name:\6279\6CE8\6846\6587\672C;
        mso-style-link:"\6279\6CE8\6846\6587\672C Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
span.Char
        {mso-style-name:"\6279\6CE8\6846\6587\672C Char";
        mso-style-priority:99;
        mso-style-link:\6279\6CE8\6846\6587\672C;
        font-family:"Calibri","sans-serif";}
span.EmailStyle24
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>Dear 360 Browser staff,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Thank you for this response.  As noted by others, I think your product needs some further work to be considered truly secure against these kinds of attacks, however I am glad to know that the original article's allegations seem to be unfounded.  I think I can safely speak for all Forum members in saying that we look forward to working with you to further enhance the SSL/TLS certificate usage and security within the Chinese market.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Kind regards,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Rich Smith<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Validation Manager<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Comodo<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt'><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> </span><span lang=ZH-CN style='font-size:10.0pt;font-family:SimSun'>高寒蕊</span><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> [mailto:gaohanrui@360.cn] <br><b>Sent:</b> Tuesday, October 21, 2014 11:20 PM<br><b>To:</b> richard.smith@comodo.com; public@cabforum.org<br><b>Cc:</b> </span><span lang=ZH-CN style='font-size:10.0pt;font-family:SimSun'>王天平</span><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>; </span><span lang=ZH-CN style='font-size:10.0pt;font-family:SimSun'>贾正强</span><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>; </span><span lang=ZH-CN style='font-size:10.0pt;font-family:SimSun'>石晓虹</span><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'><br><b>Subject:</b> </span><span lang=ZH-CN style='font-size:10.0pt;font-family:SimSun'>答复</span><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>: [cabfpub] China MITMing icloud.com<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>This article is not the truth.<o:p></o:p></p><p class=MsoNormal>360 browser can identify the fake certification and alert the users in both address-bar and the infobar (the yellow tip right on top of the page). Attached you can find the screenshot.<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><img width=412 height=162 id="图片_x0020_1" src="cid:image001.jpg@01CFEDD8.E7541580"><o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>We also made the announcement to our users in major it websites(<a href="http://www.cnetnews.com.cn/2014/1021/3036881.shtml">CNET</a>, <a href="http://soft.chinabyte.com/32/13115032.shtml">ChinaByte</a>, etc.) and <a href="http://weibo.com/1709486153/BsAXnxSbS?mod=weibotime&type=comment#_rnd1413946061334">Sina Weibo</a> (aka, the Chinese twitter). <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Any other questions?<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Thanks,<o:p></o:p></p><p class=MsoNormal>360 Browser<o:p></o:p></p><p class=MsoNormal><span style='font-size:10.5pt;color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:10.5pt;color:#1F497D'> </span><o:p></o:p></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span lang=ZH-CN style='font-size:10.0pt;font-family:SimSun'>发件人</span></b><b><span style='font-size:10.0pt;font-family:SimSun'>:</span></b><span style='font-size:10.0pt;font-family:SimSun'> <a href="mailto:public-bounces@cabforum.org">public-bounces@cabforum.org</a> [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>] <b><span lang=ZH-CN>代表 </span></b>Rich Smith<br><b><span lang=ZH-CN>发送时间</span>:</b> 2014<span lang=ZH-CN>年</span>10<span lang=ZH-CN>月</span>21<span lang=ZH-CN>日</span> 22:41<br><b><span lang=ZH-CN>收件人</span>:</b> <a href="mailto:public@cabforum.org">public@cabforum.org</a><br><b><span lang=ZH-CN>主题</span>:</b> [cabfpub] China MITMing icloud.com</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><a href="https://en.greatfire.org/blog/2014/oct/china-collecting-apple-icloud-data-attack-coincides-launch-new-iphone">https://en.greatfire.org/blog/2014/oct/china-collecting-apple-icloud-data-attack-coincides-launch-new-iphone</a><o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>The above article states that within China's great firewall, <a href="http://www.icloud.com">www.icloud.com</a> is connecting with a self signed certificate.  The article also states that the Qihoo 360 Browser passes the user right through with no warning or other indication that the connection is unsafe.<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>I have no way to independently verify that accusation, BUT given that we just approved the 360 Browser's CA/B membership application, I think this needs to be investigated.<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>If the accusation is found to be accurate, barring a VERY good explanation from the 360 Browser team, I would move for their immediate expulsion from this Forum.<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'>-- </span><o:p></o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'>Regards,</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'>Rich Smith</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'>Validation Manager</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'>Comodo</span><o:p></o:p></p><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:navy'><a href="http://www.comodo.com/">http://www.comodo.com</a></span><o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p></div></div></body></html>