<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Apr 6, 2017, at 3:44 PM, Richard Moore <<a href="mailto:rich@kde.org" class="">rich@kde.org</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class="gmail_default" style="font-family:verdana,sans-serif">I'm including Ryan since he's said before he's willing to forward things to the CAB list. Comments inline.</div><div class="gmail_extra"><br class=""><div class="gmail_quote">On 6 April 2017 at 18:46, philliph--- via Public <span dir="ltr" class=""><<a href="mailto:public@cabforum.org" target="_blank" class="">public@cabforum.org</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word" class=""><div class="">Some observations:</div><div class=""><br class=""></div><div class="">* Any solution is going to have to involve some form of forward acting statement ‘do this for the next X hours’.</div><div class=""><br class=""></div></div></blockquote><div class=""><br class=""></div><div class=""><div class="gmail_default" style="font-family:verdana,sans-serif">​Yes​</div><br class=""></div><div class=""> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word" class=""><div class=""></div><div class="">* We now have two mechanisms that are viable as publication infrastructures - DNS and CT</div></div></blockquote><div class=""><br class=""></div><div class="gmail_default" style="font-family:verdana,sans-serif">​Since accessing the CT logs involves DNS, we have approximately one but two formats to represent the data.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br class=""></div><div class=""> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word" class=""><div class=""></div><div class="">* The problems with pinning are real, very few companies can risk shutting themselves down for an extended period if they goof. The problem with pinning is that the time period really does need to be fairly long if it is to be any use. I do not visit my bank every day. I probably don’t visit for a month at times.</div><div class=""><br class=""></div></div></blockquote><div class=""><br class=""></div><div class=""><div class="gmail_default" style="font-family:verdana,sans-serif">​While I agree about the risk of error I think your analysis is wrong. If a bunch of people all have the forward looking statement then any one of them visiting the site and triggering the error can inform the others. An example of this in practice is the use of certificate pinning for google properties which have successfully notified people other than the victim of an attack that an attack was taking place. Having a solution that offered protection to the majority would be an improvement when considering the case of an individual (who might not visit a site very often).</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br class=""></div><div class="gmail_default" style="font-family:verdana,sans-serif">For this specific situation I t​hink expecting the endpoint to refresh their pinning information regularly would be entirely reasonable.</div></div></div></div></div></div></blockquote></div><br class=""><div class="">Well it really depends on what you want to do with the pinning information.</div><div class=""><br class=""></div><div class="">I agree that you can use a short time if all you are seeking to do is to detect a possible compromise. But if all you are going to do is notify someone of a possible issue, there is no problem with a longer time either.</div><div class=""><br class=""></div><div class="">The problem comes if the objective is to block if the site is not in conformance. Which is the objective as I understand it for most of the people pushing for pinning. And that is where I have seen pushback from the target market. For many banks, being knocked over and losing a few million to phishing gangs is actually a much lower concern than having their Website be unavailable for a week. So the key pinning idea really isn’t as attractive to them as it is to us.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">Pulling together some of the other comments in this thread, I think the common feature is to somehow soften the consequence of screwing up the pinning without creating too much of a hole for the attackers. There is almost certainly a viable compromise there somewhere but what we have right now isn’t it.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><br class=""></div><div class=""><br class=""></div></body></html>