
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.EmailStyle17


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Moving from pure logical assumptions to actual experience – we have EV-vetted thousands of organizations over nearly a ten-year period.  We have never found one


 (either at the time or verification or after the fact) that was fake or appeared to include fake address or other information – even though the holder of an EV certificate is rewarded by having its identity displayed in the browser UI (such as the “Identity


 Verified” name displayed in the browser UI from the EV cert for Mr. Burton’s company – his article seemed to say that identity display was important to him as a potential phisher). 


<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Under the EV verification processes that all CAs must follow and be audited to, any information contained in the Qualified Government Information Source (QGIS)


 such as Companies House in the UK must be cross-correlated with data found in a Qualified Independent Information Source (QIIS), such as Hoover’s.  On several occasions we have not been able to complete this cross-correlation for EV applicants, often because


 the company was too new and did not yet have an established record with the QIIS, and so were unable to issue the EV cert to the applicant.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">So again, dealing with actual experience – phishers have not been choosing EV certificates when they move their activities to encrypted sites, they have overwhelmingly


 been choosing anonymous DV certificates for obvious reasons.  It’s simple human nature that people avoid doing bad things when their identity will be known, and prefer doing bad things when they can remain anonymous – that’s why identity websites (OV and EV)


 are proving to be much safer for users than anonymous websites (DV).<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Public [mailto:public-bounces@cabforum.org]


<b>On Behalf Of </b>Ryan Sleevi via Public<br>


<b>Sent:</b> Tuesday, November 28, 2017 10:58 AM<br>


<b>To:</b> Christian Heutger <ch@psw.net>; CA/Browser Forum Public Discussion List <public@cabforum.org><br>


<b>Subject:</b> [EXTERNAL]Re: [cabfpub] Obtaining an EV cert for phishing<o:p></o:p></span></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">To be fair, I was grossly simplifying the argument that it is:<o:p></o:p></p>


<div>


<p class="MsoNormal">a) A crime to mislead a QGIS, QIIS, or QTIS within either the Jurisdiction of Incorporation or the Place of Business (as Ben and Kirk suggested)<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">b) A crime to use cert for 'evil' purposes, as Kirk suggested<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">There are many other reductions of the arguments being made here that would also apply, but I thought it worth pointing out that the argument that it'd be a crime to commit crime, is somewhat of a flawed tautology, and by no means a way


 to conclude we'd prevent crime by criminalizing crime.<o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">On Tue, Nov 28, 2017 at 1:35 PM, Christian Heutger via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE">It also means that a crime favours another crime, and that is exactly how criminals are caught, because they leave their mark, the more so, the better, because it


 makes it easier to get to the bottom of it. If you were to skip steps now, you would also deprive yourself of opportunities to hunt down criminals.<o:p></o:p></span></p>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE"> <o:p></o:p></span></p>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span lang="DE" style="color:black">Von:


</span></b><span lang="DE" style="color:black">Public <<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>> im Auftrag von Ryan Sleevi via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>


<b>Antworten an: </b>Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>>, CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>


<b>Datum: </b>Dienstag, 28. November 2017 um 19:26<br>


<b>An: </b>Ben Wilson <<a href="mailto:ben.wilson@digicert.com" target="_blank">ben.wilson@digicert.com</a>>, CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>


<b>Betreff: </b>Re: [cabfpub] Obtaining an EV cert for phishing</span><span lang="DE"><o:p></o:p></span></p>


</div>


<div>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE">Just to square these comments:


<o:p></o:p></span></p>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE">Kirk's position was that EV certificates provide a way of tracking those who'd commit crime online because they have to disclose identity.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE">Gerv and James pointed out that the identity information is only as useful as it is vetted, and there's scenarios where the vetting may not be rigorous.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE">Ben pointed out that it'd be a crime to lie to the government (although, as a broad statement, this varies by jurisdiction)<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE">By combining these views, it seems like we're in agreement that criminals who are willing to commit crime may need to commit crime to commit crime. That doesn't


 seem like the requirement to commit crime would deter a criminal from committing crime, but what do I know - I'm not a criminal (I don't think...)<o:p></o:p></span></p>


</div>


</div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE"> <o:p></o:p></span></p>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE">On Tue, Nov 28, 2017 at 12:50 PM, Ben Wilson via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<o:p></o:p></span></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE">Gerv wrote: I would say that the EV Guidelines allow EV issuers to trust things which are QGISes because there's an assumption that information in a Government information


 source will have had some level of checking.<br>


<br>


I'd disagree.  QGISes are relied upon because everyone relies on them because lying to the government is a crime.<o:p></o:p></span></p>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE"><br>


<br>


-----Original Message-----<br>


From: Public [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>] On Behalf Of Gervase Markham via Public<br>


Sent: Tuesday, November 28, 2017 10:46 AM<br>


To: Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>>; James Burton <<a href="mailto:james@sirburton.com" target="_blank">james@sirburton.com</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>


Subject: Re: [cabfpub] Obtaining an EV cert for phishing<br>


<br>


Hi Kirk,<br>


<br>


On 28/11/17 17:03, Kirk Hall wrote:<br>


> Thanks for the additional information, James.  In the end, the EV<br>


> Guidelines did exactly what they were designed to do – they provided a<br>


> way for the public to find you (as the company owner) if you used your<br>


> EV certificate and domain to do something wrong.<br>


<br>


They did, but only because he was honest. He is pointing out that it may not be difficult, due to the lack of checking, for a dishonest person to use fake information. I do think that's an issue of concern.<br>


<br>


I would say that the EV Guidelines allow EV issuers to trust things which are QGISes because there's an assumption that information in a Government information source will have had some level of checking. But it seems from this experience that this is not true


 in all cases. That concerns me. Do we have to agree that Companies House is not a valid QGIS?<br>


<br>


This is not a phishing issue, it's a more general "integrity of the EV process" issue.<br>


<br>


Gerv<br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><span lang="DE"><br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></span></p>


</blockquote>


</div>


<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="DE"> <o:p></o:p></span></p>


</div>


</div>


</div>


</div>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><br>


_______________________________________________<br>


Public mailing list<br>


<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>


<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>


</blockquote>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</body>


</html>