<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 10, 2014 at 2:19 PM, Dean Coclin <span dir="ltr"><<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Gerv wrote:<br>
"Can an attacker get an OV certificate with a bogus O field? However hard<br>
you think that is, it's certainly easier to do that for OV than for EV."<br>
<br>
And it's much, much easier for an attacker to get a DV certificate.<br>
<br>
Here are some statistics:<br>
<br>
1. Roughly 1/3 of e-commerce websites use DV certificates<br>
2. DV certificates are more likely to be used by cybercriminals for<br>
e-commerce fraud (see #4)<br>
3. 25,000 suspected phishing sites were using SSL in the year leading up to<br>
March 2014<br>
4. I asked Netcraft to provide me with some data related to this and<br>
although I'm not allowed to release the report (due to contractual<br>
agreements with Netcraft), I was able to get this statement released: "A<br>
recent Netcraft study showed that 78% of SSL certificates found on servers<br>
hosting fraudulent websites were Domain Validated. While the majority were<br>
not obtained exclusively for phishing, those with misleading domains were<br>
subject only to domain validation."<br>
<br>
As Eddy noted, there are many appropriate uses for DV certificates and in no<br>
way do I want to diminish or degrade that experience for those use cases.<br>
E-Commerce however is another story and given the fraud stats above, the<br>
risks presented by DV certs in e-commerce are significant. I applaud Eddy<br>
for refusing to provide DV for e-commerce websites.<br>
<br>
Since people are throwing around studies claiming that users don't look at<br>
security warnings, I'll counter with this one:<br>
<a href="http://people.scs.carleton.ca/~paulv/papers/ccsw09.pdf">http://people.scs.carleton.ca/~paulv/papers/ccsw09.pdf</a><br>
It's an interesting but very technical read. The summary, which is talking<br>
about an alternative cert UI, says:<br>
"The alternative (UI) design demonstrated significant improvements over IE<br>
in the following areas:<br>
  easier to find web site ownership information<br>
  easier to find and understand data safety information<br>
  increased confidence in data safety (when encryption<br>
is present)<br>
  accuracy of security decisions"<br>
<br>
>From my interpretation, users can understand (if properly presented) and<br>
will take appropriate action. The mockups in the paper all show that privacy<br>
is protected (encryption) but provides 3 levels of identity: Low<br>
(corresponding to DV), Medium (corresponding to OV) and High (corresponding<br>
to EV) as indicated by words and pictures.<br>
<br>
Why do cybercriminals bother to get certificates at all? It's because users<br>
are more informed and are becoming trained to look for the lock or https. To<br>
"legitimize" their hack, cybercriminals are increasingly bothering to obtain<br>
certs for these sites. And DV certs make it easy for them.<br>
<br>
But, it's been made clear that browsers don't support additional UI features<br>
for DV/OV/EV. OK, fine, let's move on from that.  What about disallowing DV<br>
for e-commerce sites? I recall this being discussed about 5 or so years ago<br>
and from what I remember, it didn't pass because of a debate around what<br>
constitutes an e-commerce site. It could be as simple as: (1) it collects<br>
payment info (i.e. credit card, Paypal, etc) and (2) runs a checkout module.<br>
<br>
Dean Coclin<br></blockquote><div><br></div><div>As noted in the past, I don't think we really agree with your conclusions, nor are terribly interested in this proposal. Nor is it really implementable.</div><div><br></div><div>Cheers,</div><div>Ryan</div></div></div></div>