<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.gmail-msonormal, li.gmail-msonormal, div.gmail-msonormal
        {mso-style-name:gmail-msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
p.gmail-m-2508322279763301811gmail-msonormal, li.gmail-m-2508322279763301811gmail-msonormal, div.gmail-m-2508322279763301811gmail-msonormal
        {mso-style-name:gmail-m_-2508322279763301811gmail-msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">You obviously went to a lot of work to prepare the message below – but what’s your point?  That a determined person with money and time *<b>might</b>* be able
 to get an EV certificate with false information in it (that then can maybe only be used once before being flagged for phishing)?  Of course that’s possible – no one has ever claimed otherwise.  But can you point me to any EV certs where that actually happened?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Of course, a determined person can probably also get a driver’s license, passport, or airplane ticket with a false identity – it has undoubtedly happened – but
 it’s clearly very difficult, expensive, time consuming, and very risky (criminal penalties).  So it doesn’t happen very much, and confirmed identity in the rest of the driver’s licenses, passports, and airplane tickets are very important to consumer safety. 
 Are you saying there is no point in requiring anyone to identify himself or herself to get a driver’s license, passport, or airline ticket just because there is an *<b>extremely</b>* remote chance that someone, somewhere might be able to get one with a false
 identity?  That makes no sense to me.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Ryan Sleevi [mailto:sleevi@google.com]
<br>
<b>Sent:</b> Tuesday, November 28, 2017 4:51 PM<br>
<b>To:</b> Kirk Hall <Kirk.Hall@entrustdatacard.com><br>
<b>Cc:</b> CA/Browser Forum Public Discussion List <public@cabforum.org><br>
<b>Subject:</b> Re: [EXTERNAL]Re: [cabfpub] Obtaining an EV cert for phishing<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">Kirk,<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Apologies for not having been more precise. James showed it was possible to not leave a trace, but you're correct, he did chose to be honest. We should not assume attackers will be, and we should be careful in assuming their detection.
 To the earlier remarks made by both you and Ben - that it would be illegal to do so - that, as you know, depends on the jurisdiction, and should not be taken as a universal truth.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">As to your suggestion of it being a requirement to establish a false identity in Hoover's - that's not a requirement of the EV Guidelines, so it's not relevant to discussing the threat model. <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">11.2.1 can be verified by Companies House - as discussed earlier. 11.2.2 covers this through the use of QGIS, such as Companies House.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">11.3.2 allows the use of that same QGIS for the verification of the 11.3.1 information. I presume this is what you refer to as your CA using Hoover's - but that usage of a QIIS as a cross-check is not a requirement - nor is it fundamentally
 more reliable (it's just Yet Another Trusted Third Party)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">11.4.1 (2) (A) (4) again allows the use of that QGIS to verify the place of business.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">11.5.2 allows for the use of that QGIS to obtain a phone number or e-mail address, and as James mentioned, that can be a cellphone.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">As noted by Jeremy, the set of options under 11.6.2 allows for the use of (1) - (4) independently (c.f. the clause in (3) of "or"), and a QIIS that simply reproduces a QGIS such as Companies House - which is what happened - qualifies under
 (2).<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">11.8.2 (1) provides no requirements, and arguably, the use of a QGIS and verified method of communication suffice.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">11.8.2 (2) allows the use of a QGIS by way of (C)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">11.8.3 (6) allows the use of a QGIS (and that's not even touching on (7))<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">11.9.2 (1) again allows for the use of the QGIS and phone number.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">11.10.2 (2) is click-wrap<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">11.11.4 (B) (ii) allows for an e-mail to the QGIS person<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">We can keep walking through these steps, but the claim that it's necessary to leave the attackers name and address is to make a grave error; it's true they need a name and address, but as the process is only as strong as the weakest link.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">The claim in #2 that EV somehow addresses that weak link is, of course, not substantiated by the data, both in theory and in practice. It's somewhat dubious, though, to claim that the added security value in EV is that it's not used by
 attackers, while also failing to recognize that EV is not used by attackers because it doesn't add security value :)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">As to your statistics about DV certificates, you're true that hundreds of thousands of formerly insecure sites are adopting TLS, and that obtaining certificates has finally been made as simple as obtaining or configuring domain names. These
 advancements have substantially helped user security, by finally allowing us to strongly attribute the content provided to the origin that provided it, without interference or risk of middleboxes serving hostile content (as several nation-states have been
 reported as doing, and as a number of ISPs are known to do). This does mean that some content you may disagree with has now moved from serving that over HTTP to HTTPS, but that doesn't mean HTTPS is somehow less secure for it.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">As to the (limited) value that CAs (may) provide, I think these notes might be helpful in capturing some opportunities for real improvements - <a href="https://docs.google.com/document/d/e/2PACX-1vThdwFAKzEMlHzHZAN4o050CM3P2LNqPcwJUsqfOFVqs6LktwwFdARPzVp81KDN72ih1IZMTHR3tklk/pub">https://docs.google.com/document/d/e/2PACX-1vThdwFAKzEMlHzHZAN4o050CM3P2LNqPcwJUsqfOFVqs6LktwwFdARPzVp81KDN72ih1IZMTHR3tklk/pub</a>
 - and about the particular challenges that come from incorrectly framing it as an DV/EV problem.<o:p></o:p></p>
</div>
<div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Tue, Nov 28, 2017 at 5:41 PM, Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<div>
<div>
<p class="gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Sorry, but your #2 below is wrong – James did leave a trace, his name and address (and no, that’s not emotion talking, just facts).  To my knowledge, so
 has every EV cert holder – it’s way too much trouble to establish a corporation (that’s real) using fake and untraceable information, then establish the same false identity in Hoover’s (they require more than self-reporting, and use their own antifraud algorithms),
 and also complete all the other EV authentication steps just to obtain and use a EV cert for that fake identity, which will then be unusable as soon as the website has been tagged for fraud or phishing.  That isn’t happening.</span><o:p></o:p></p>
<p class="gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">In contrast, anonymous, free, phishing DV certs can be – and are being – used and discarded in minutes or hours without a trace, and a new anonymous, free,
 phishing DV cert substituted within minutes as soon as the first website has been flagged for fraud.  It’s happening all the time now.</span><o:p></o:p></p>
<p class="gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="gmail-msonormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Ryan Sleevi [mailto:<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>]
<br>
<b>Sent:</b> Tuesday, November 28, 2017 1:42 PM<br>
<b>To:</b> Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>><br>
<b>Cc:</b> CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>
<b>Subject:</b> Re: [EXTERNAL]Re: [cabfpub] Obtaining an EV cert for phishing</span><o:p></o:p></p>
<div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
<div>
<p class="gmail-msonormal">I appreciate your arguments about human nature, although from a security perspective, we prefer to think about what the 'weakest link' is. I also appreciate the appeal to suspend logical discussion, and instead discussion on experience
 and emotion, which can certainly make for good business, but also makes for bad security.<o:p></o:p></p>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">The weakest link will always be the most lucrative to attack.<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">Your argument is that DV is a weak-link, and that EV improves that weak-link.<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">Ignoring, for a second, that EV and DV are not differentiated in the foundational security model of the Web (the origin security model of the same origin policy), we have to evaluate two aspects of the claim here:<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">1) How does one strengthen the weak-link (of DV)<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">2) Are the claims about EV improving that weak-link (of DV) accurate<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">James' work shows the misrepresentation of the value of EV with respect to #2. That is, an EV certificate can be obtained for 'nefarious' intent without leaving a trace. This is especially true given that EVs security itself rests
 on the weakest link of the QIIS, QGIS, and QTIS, and James has shown how assumptions of the strength of those links are, to put mildly, incorrect, or to put hyperbolically, overblown.<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">The CA Security Council, which is both not affiliated with the CA/B Forum and, charitably, misnamed, advocates that the solution to #1 is "user training", by virtue of changes to the user interface. That is, we should make the supposed-weak-link
 look bad (for some sort of activity), while making the supposed-strong-link look good (for some sort of activity)<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">What that activity is varies, of course - If our activity is, say, "phishing", then it means every page that takes any form of user details (not just passwords, but any form of data collection) should use an EV certificate. If our
 solution is say, "malware", then it it means every page that offers any form of download (or runs any form of browser scripting, since that can be used to exploit bugs in browsers) should use an EV certificate.<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">The 'solution' from the CA Security Council is to suggest that users should know that all sensitive operations should be OV/EV certificates, and all site operators should use OV/EV certificates, with a somewhat dismissive 'still allow'
 of DV for 'blogs' - that is, CAs want to be content police and adjudicators, indicating blogs are not important activities but 'commerce' is, despite their virtual indistinguishability to impact on everyday life.<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">This solution rests on the premise that #2 is stronger than DV, because of its use of a QIIS and QGIS. Your own reply echoes this belief, conflating both correlation with causation and ignoring the conclusions that can be drawn by
 James' work. Unfortunately, this specious reasoning was perhaps most compellingly summed up by Lisa Simpson in <a href="https://www.youtube.com/watch?v=fm2W0sq9ddU" target="_blank">https://www.youtube.com/watch?v=fm2W0sq9ddU</a><o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal">You argue that this works by arguing on the basis of 'false' negatives - companies you rejected due to the lack of cross-correlation - but as James has pointed out, there's a clear lack of data of the false positives - organizations
 that were issued EV certs but are 'up to no good'. We know false positives exists - a former member of the CA/Browser Forum, and (possibly still current) member of the CA/Security Council issued quite a few of them over the past three years. The argument that
 there must not be false positives, because evil isn't done, is, unfortunately, much like arguing that Lisa's rock repels tigers.<o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<div>
<div>
<p class="gmail-msonormal">On Tue, Nov 28, 2017 at 4:16 PM, Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">
<div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Moving from pure logical assumptions to actual experience – we have EV-vetted thousands of organizations over nearly a ten-year
 period.  We have never found one (either at the time or verification or after the fact) that was fake or appeared to include fake address or other information – even though the holder of an EV certificate is rewarded by having its identity displayed in the
 browser UI (such as the “Identity Verified” name displayed in the browser UI from the EV cert for Mr. Burton’s company – his article seemed to say that identity display was important to him as a potential phisher). 
</span><o:p></o:p></p>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Under the EV verification processes that all CAs must follow and be audited to, any information contained in the Qualified Government
 Information Source (QGIS) such as Companies House in the UK must be cross-correlated with data found in a Qualified Independent Information Source (QIIS), such as Hoover’s.  On several occasions we have not been able to complete this cross-correlation for
 EV applicants, often because the company was too new and did not yet have an established record with the QIIS, and so were unable to issue the EV cert to the applicant.</span><o:p></o:p></p>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">So again, dealing with actual experience – phishers have not been choosing EV certificates when they move their activities to
 encrypted sites, they have overwhelmingly been choosing anonymous DV certificates for obvious reasons.  It’s simple human nature that people avoid doing bad things when their identity will be known, and prefer doing bad things when they can remain anonymous
 – that’s why identity websites (OV and EV) are proving to be much safer for users than anonymous websites (DV).</span><o:p></o:p></p>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"> </span><o:p></o:p></p>
<p class="gmail-m-2508322279763301811gmail-msonormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Public [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>]
<b>On Behalf Of </b>Ryan Sleevi via Public<br>
<b>Sent:</b> Tuesday, November 28, 2017 10:58 AM<br>
<b>To:</b> Christian Heutger <<a href="mailto:ch@psw.net" target="_blank">ch@psw.net</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>
<b>Subject:</b> [EXTERNAL]Re: [cabfpub] Obtaining an EV cert for phishing</span><o:p></o:p></p>
<div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"> <o:p></o:p></p>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal">To be fair, I was grossly simplifying the argument that it is:<o:p></o:p></p>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal">a) A crime to mislead a QGIS, QIIS, or QTIS within either the Jurisdiction of Incorporation or the Place of Business (as Ben and Kirk suggested)<o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal">b) A crime to use cert for 'evil' purposes, as Kirk suggested<o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"> <o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal">There are many other reductions of the arguments being made here that would also apply, but I thought it worth pointing out that the argument that it'd be a crime to commit crime, is somewhat of a flawed
 tautology, and by no means a way to conclude we'd prevent crime by criminalizing crime.<o:p></o:p></p>
</div>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"> <o:p></o:p></p>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal">On Tue, Nov 28, 2017 at 1:35 PM, Christian Heutger via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">
<div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE">It also means that a crime favours another crime, and that is exactly how criminals are caught, because they leave their mark, the more so, the better, because it makes it easier to get to
 the bottom of it. If you were to skip steps now, you would also deprive yourself of opportunities to hunt down criminals.</span><o:p></o:p></p>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE"> </span><o:p></o:p></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="gmail-m-2508322279763301811gmail-msonormal"><b><span lang="DE" style="color:black">Von:
</span></b><span lang="DE" style="color:black">Public <<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>> im Auftrag von Ryan Sleevi via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>
<b>Antworten an: </b>Ryan Sleevi <<a href="mailto:sleevi@google.com" target="_blank">sleevi@google.com</a>>, CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>
<b>Datum: </b>Dienstag, 28. November 2017 um 19:26<br>
<b>An: </b>Ben Wilson <<a href="mailto:ben.wilson@digicert.com" target="_blank">ben.wilson@digicert.com</a>>, CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>
<b>Betreff: </b>Re: [cabfpub] Obtaining an EV cert for phishing</span><o:p></o:p></p>
</div>
<div>
<div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE"> </span><o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE">Just to square these comments:
</span><o:p></o:p></p>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE"> </span><o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE">Kirk's position was that EV certificates provide a way of tracking those who'd commit crime online because they have to disclose identity.</span><o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE">Gerv and James pointed out that the identity information is only as useful as it is vetted, and there's scenarios where the vetting may not be rigorous.</span><o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE">Ben pointed out that it'd be a crime to lie to the government (although, as a broad statement, this varies by jurisdiction)</span><o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE"> </span><o:p></o:p></p>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE">By combining these views, it seems like we're in agreement that criminals who are willing to commit crime may need to commit crime to commit crime. That doesn't seem like the requirement
 to commit crime would deter a criminal from committing crime, but what do I know - I'm not a criminal (I don't think...)</span><o:p></o:p></p>
</div>
</div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE"> </span><o:p></o:p></p>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE">On Tue, Nov 28, 2017 at 12:50 PM, Ben Wilson via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:</span><o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE">Gerv wrote: I would say that the EV Guidelines allow EV issuers to trust things which are QGISes because there's an assumption that information in a Government information source will have
 had some level of checking.<br>
<br>
I'd disagree.  QGISes are relied upon because everyone relies on them because lying to the government is a crime.</span><o:p></o:p></p>
<div>
<div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE"><br>
<br>
-----Original Message-----<br>
From: Public [mailto:<a href="mailto:public-bounces@cabforum.org" target="_blank">public-bounces@cabforum.org</a>] On Behalf Of Gervase Markham via Public<br>
Sent: Tuesday, November 28, 2017 10:46 AM<br>
To: Kirk Hall <<a href="mailto:Kirk.Hall@entrustdatacard.com" target="_blank">Kirk.Hall@entrustdatacard.com</a>>; James Burton <<a href="mailto:james@sirburton.com" target="_blank">james@sirburton.com</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>><br>
Subject: Re: [cabfpub] Obtaining an EV cert for phishing<br>
<br>
Hi Kirk,<br>
<br>
On 28/11/17 17:03, Kirk Hall wrote:<br>
> Thanks for the additional information, James.  In the end, the EV<br>
> Guidelines did exactly what they were designed to do – they provided a<br>
> way for the public to find you (as the company owner) if you used your<br>
> EV certificate and domain to do something wrong.<br>
<br>
They did, but only because he was honest. He is pointing out that it may not be difficult, due to the lack of checking, for a dishonest person to use fake information. I do think that's an issue of concern.<br>
<br>
I would say that the EV Guidelines allow EV issuers to trust things which are QGISes because there's an assumption that information in a Government information source will have had some level of checking. But it seems from this experience that this is not true
 in all cases. That concerns me. Do we have to agree that Companies House is not a valid QGIS?<br>
<br>
This is not a phishing issue, it's a more general "integrity of the EV process" issue.<br>
<br>
Gerv<br>
_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a></span><o:p></o:p></p>
</div>
</div>
<p class="gmail-m-2508322279763301811gmail-msonormal" style="margin-bottom:12.0pt">
<span lang="DE"><br>
_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a></span><o:p></o:p></p>
</blockquote>
</div>
<p class="gmail-m-2508322279763301811gmail-msonormal"><span lang="DE"> </span><o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
<p class="gmail-m-2508322279763301811gmail-msonormal" style="margin-bottom:12.0pt">
<br>
_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org" target="_blank">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" target="_blank">https://cabforum.org/mailman/listinfo/public</a><o:p></o:p></p>
</blockquote>
</div>
<p class="gmail-m-2508322279763301811gmail-msonormal"> <o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<p class="gmail-msonormal"> <o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</div>
</div>
</body>
</html>