<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 7, 2017 at 9:27 AM, Bruce Morton <span dir="ltr"><<a href="mailto:Bruce.Morton@entrustdatacard.com" target="_blank">Bruce.Morton@entrustdatacard.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div class="m_2242446146186716683WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Sorry I missed that, but isn’t pinning high risk? I don’t think that any CA would recommend pinning as it is unsupportable; we can’t do anything when it fails.
 I think Subscribers should review pinning before deploying, <a href="https://blog.qualys.com/ssllabs/2016/09/06/is-http-public-key-pinning-dead" target="_blank">
https://blog.qualys.com/<wbr>ssllabs/2016/09/06/is-http-<wbr>public-key-pinning-dead</a>.</span></p></div></div></blockquote><div><br></div><div>For what it's worth, many of the complaints in that blog relate to CAs lack of disclosure related to their infrastructure - that's what creates the risks. So if CAs were more technically savvy, and worked to help understand their customers needs, it's very much viable.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_2242446146186716683WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">I think the value of EV is that those certificates are not issued to attackers. So it would be great if a Subscriber could state that their site only uses EV
 and that the browser respected that statement.</span></p></div></div></blockquote><div><br></div><div>And customers have that capability - if CAs, particularly their CA, is technically capable and/or transparent. The browser manufacturers have already give you that capability, if you chose to use it.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="blue" vlink="purple"><div class="m_2242446146186716683WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">I also think that this statement might be better to be put in the HSTS header. HSTS is low risk, EV is highly available and stating EV-only would be applicable
 to most CAs. This allows the Subscriber to move from one CA to another without bricking their site by pinning to a root or intermediate.</span></p></div></div></blockquote><div><br></div><div>I disagree, and was pointing out how you can already accomplish this without requiring new features that accomplish the same as existing features =)</div><div><br></div></div></div></div>