<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 1, 2016 at 3:19 PM, Dean Coclin <span dir="ltr"><<a href="mailto:Dean_Coclin@symantec.com" target="_blank">Dean_Coclin@symantec.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">I think what the presenter had in mind were “hooks” into the trust store such that an alternate trust source (i.e. eIDAS Trust List) could be selected by a user. I believe Ryan said this type of “hook” exposes the browser to potential malicious intent.  One question I had (and I really don’t know how this works) is that I know Microsoft provides the capabilities for Enterprises to add or push roots out to users in their groups. Perhaps Dr. Poesch had that in mind when he was brainstorming his hook idea.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)"><u></u> </span></p></div></div></blockquote><div><br></div><div>Given that such features are Enterprise-only (group policy managed), I think that's unlikely, since the goal of eIDAS is consumer-facing. That is, I don't think you want every citizen needing to join a federated European Active Directory deployment ;)</div><div><br></div><div>That said, even those feature have been abused. For example, Applications targeting Android API Level 24 (Android N) will no longer respect enterprise-pushed roots unless each individual developer individually opts in. This is covered in the Android N preview notes at <a href="https://developer.android.com/intl/es/preview/features/security-config.html">https://developer.android.com/intl/es/preview/features/security-config.html</a></div><div><br></div><div>Unless an application opts in, the installation of a root certificate (or, in this case, an EU TL), is NOT sufficient to allow access to sites using those certs.</div></div></div></div>