<div dir="ltr">It's also possible to imagine doing a separate, open conference call that anyone can listen into, with a recording posted immediately following the call and a transcript posted soon after (you'd probably get several offers of help -- I'm happy to chip in and do some transcribing myself). <div><br></div><div>As someone from the public without any special vantage point or signed NDAs, I can say that the information that's been discussed publicly so far is painfully small for a decision of this magnitude. Even with a strong presumption of good faith in Google, Symantec, and the rest of the Forum -- the quality and velocity of discussion when everything is filtered through an intermediary isn't tenable if the goal is public debate.</div><div><br></div><div>Even the public WorldPay discussion on the Mozilla list was missing a lot of crucial details on who would be affected, what other technical solutions might be viable, and how much it would cost to address the problem through more drastic action. In part that's because the timing was so tight, but also because WorldPay wasn't an active participant -- and especially because there was no expectation set that WorldPay *had* to participate if they wanted their request to be considered.</div><div><br></div><div>Given how intense all the SHA-1 exception discussions have been, I can understand why payment processors might feel they're walking into a lions' den. But the current frustration seems rooted more in the political process than payment processors' original sins, and I'm sure everyone's capable of being nice and empathetic to each other about a tough situation if that frustration is alleviated.</div><div><br></div><div>-- Eric</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Mar 13, 2016 at 3:45 PM, Dean Coclin <span dir="ltr"><<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Let me get this straight: I offer to bring an affected party to a forum call and Google declines to participate because some minutes have been posted late? I don’t understand how an offer to essentially “depose” a witness in real time would be met with a “no, it’s not transparent so we will not participate”. These minutes can be verbatim text since we have a recording to work from. This is not an attempt to invoke any non-disclosure, it was merely a good faith effort to enable the CA/B community to ask questions in real time. Having said that, no parties have offered to do this. However, it may be possible to get a spokesperson from one of the trade associations that represents payment processors. If there is interest in that, I can see about scheduling it. <u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Ryan Sleevi [mailto:<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>] <br><b>Sent:</b> Thursday, March 10, 2016 9:12 PM<span class=""><br><b>To:</b> Dean Coclin <<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>><br><b>Cc:</b> CABFPub <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br><b>Subject:</b> Re: [cabfpub] SHA1 options for payment processors<u></u><u></u></span></span></p><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal"><u></u> <u></u></p><div><p class="MsoNormal">On Thu, Mar 10, 2016 at 6:00 PM, Dean Coclin <<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>> wrote:<u></u><u></u></p><div><div class="h5"><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><div><p class="MsoNormal"> <u></u><u></u></p><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">>>I don’t think I asked for a “guarantee”, only an expression of assistance. To date, the communication has been fairly negative which doesn’t exude much faith from the requestors.</span><u></u><u></u></p></div></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Understanding the scope of the problem, the nature of how the problem came to be, the nature of what's being requested, and the time frame in which the process will work are all key facets to determining whether or not an exception can or should be granted.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Again, I want to reiterate - without public discussion, there can simply be no exception from our end, and any CA that issues is at risk of action, including distrust, in order to protect users from that CA.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">But I’m curious what “solution” will be explored given all the information I’ve provided. I don’t know what other information you expect to gain by talking directly to the end users. The “what, when, why and how” asked in the initial email have been answered.</span><u></u><u></u></p></div></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">They have not. I appreciate your view that it has been, but you can't show answers to the specific questions enumerated, then it doesn't help understand either the present situation or how to avoid this.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I welcome and appreciate if parties who are affected can reply to the specific set of questions posed, but without that, there really is no further room for discussion.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">All you’re missing is the “who”.   It could be Big Bank of the East or Contoso Corp. How does that help determine a solution? Are you saying the name of the company will dictate the solution? </span><u></u><u></u></p></div></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I think having a party to directly communicate with, rather than a CA who directly financially benefits, is a reasonable request.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I think it's relevant to the public interest to know specifically which parties are requesting an exception that places the global Internet at risk.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I think it's relevant to be able to ask follow-up questions to the named party, rather than through an intermediate who would benefit from arbitrarily delaying the conversation, is beneficial. For example, WorldPay was granted by Mozilla because of the exigent circumstances that prevented any reasonable public discussion or debate. It's certainly reasonable to expect that future customers may benefit from this. It's hard not to view the objection to having those parties come forward as, in part, a means of delaying the opportunity to explore a solution to them until the only solutions viable are ones that benefit the CA and place users at risk.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I am well aware that this may be seen as "tinfoil hat", but the precise reason is we're talking about global trust. Transparency is necessary here. And given that, as it has been in the past with other deprecations, that it's consistently Symantec approaching the Forum and Browsers for such exceptions, it's reasonable to need to transparently understand why this keeps happening to Symantec customers.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Whatever the solution is, all parties will agree to publish the cert in CT and other lists (as previously mandated by Mozilla) so everyone will know the domain.  Having said that, I will see what I can do to have a “guest speaker” join our call next week as a first step.</span><u></u><u></u></p></div></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">I'm sorry, I simply must object to this. It fails to achieve the necessary public discussion and debate. The Forum is quite bad at publishing minutes already, there is a delay between one to two weeks, and no external parties can participate in those discussions - either in seeing exactly what's been said or in replying with reasonable and timely follow-ups.<u></u><u></u></p></div><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">To that end, if there is a party scheduled for the call, I must regrettably remark that we will participate in the discussion. It needs to be public and transparent, to which only the list presently affords that.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">On a similar topic, today I was on a call with another affected party that was using a SHA-1 cert for server to server communication in a mission critical application in which the cert expires next week. No browser is involved.</span><u></u><u></u></p></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Yet every browser is put at risk. Further, every non-browser user of TLS is also put at risk - from your wget and curl to your PHP and Python. You keep spinning the story to avoid this very key, critical detail.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Again, these folks aren’t attune to this issue as those in this forum and thought that since it didn’t involve browsers, they could get a SHA-1 certificate this year. His argument was that he could get a SHA-1 code signing cert, why not server to server. He was shocked to learn that we couldn’t do that and has no idea how to solve this for one of the largest banks in the world. I bring this up only to highlight the extent of this issue.</span><u></u><u></u></p></div></div></blockquote><div><p class="MsoNormal"><u></u> <u></u></p></div><div><p class="MsoNormal">Unfortunately, you failed to highlight the extent of the risk.<u></u><u></u></p></div><div><p class="MsoNormal"> <u></u><u></u></p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt"><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Thank you.</span><u></u><u></u></p></div></div></blockquote></div></div></div><p class="MsoNormal"><u></u> <u></u></p></div></div></div></div><br>_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br></div></div></div></div></div></div></div>
</div>