<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Iím talking about DNS rebinding and all similar attacks.<div>For example, what about certificate revokation? Canít someone just revoke the pinned certificate and then pin their MITM certificate in place? Canít someone force unpinning (there are always scenarios in implementations, not in specifications)? Doesnít it just introduce another complexity in the browsers, which is bad for security? Do you think that stopping 99% of attacks is a good idea? because it only gives the user a sense of security. After all, valid cert MITMs are advanced attacks to begin with, and its easy to bypass these semi-protections when the heart is set on it.</div><div><br></div><div>My proposed solution would be to involve the user. Show him all the certs for the website, and ask for approval when the cert changes, by showing a list of certs and the dates they were encountered (similar to asking for cookies). Certs are not typical to change, and there is no need to ask for approval on the first cert the browser sees on a website (similar to pinning), but it should ask when a new cert is faced (typically in a year or two, on attacks more recently, there is a pattern to check as well).</div><div><br></div><div>That is my proposed short-term solution. The long term solution would definitely be to have a one-to-one relation between certs and domains, i.e instead of just asking CA for the validity of domain and cert, asking domain for the validity of its CA as well. It can involve a new protocl, or it can be just as easy as DKIM, having the domain vouch for its CA through a simple DNS lookup.</div><div><br></div><div>Thanks</div><div>-Abbas<br><div><div>On Dec 29, 2013, at 12:39 PM, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">
  
    <meta content="text/html; charset=windows-1252" http-equiv="Content-Type">
  
  <div bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Hi Abbas, <br>
      well, am not sure to which DNS pinning attacks you are referring,
      but it is correct key pinning is not the perfect solution and has
      some weaknesses, but it significantly reduces the attack surface.
      <br>
      <a href="http://www.ietf.org/id/draft-ietf-websec-key-pinning-09.txt">http://www.ietf.org/id/draft-ietf-websec-key-pinning-09.txt</a><br>
      And hopefully it will be out and in all the browsers soon. <br>
      (we are in the last review iteration in WG last call at this
      moment.)<br>
      Cheers, Tobias<br>
      <br>
      <br>
      On 29/12/13 17:26, Abbas Naderi wrote:<br>
    </div>
    <blockquote cite="mid:CFF02DF6-A006-4681-8EB9-09165DCE8133@owasp.org" type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=windows-1252">
      Well then it just introduces the new pinning attacks that existed
      on DNS. Thats not a solution.
      <div>-A<br>
        <div>
          <div>On Dec 29, 2013, at 4:30 AM, Tobias <<a moz-do-not-send="true" href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>>
            wrote:</div>
          <br class="Apple-interchange-newline">
          <blockquote type="cite">
            <meta content="text/html; charset=windows-1252" http-equiv="Content-Type">
            <div bgcolor="#FFFFFF" text="#000000">
              <div class="moz-cite-prefix">Hi, <br>
                <br>
                just fyi: the browser vendors are in the IETF currently
                working on cert pinning, which should be released very
                soon and will pin the cert to a domain. (With that the
                browser will only accept your pinned domain cert for
                your domain, instead of any one from any of the 640s CAs
                worldwide.) This was developed as a response out of the
                Diginotar/Comodo incidents in 2011. <br>
                <br>
                Best regards, Tobias<br>
                <br>
                <br>
                On 26/12/13 21:05, Abbas Naderi wrote:<br>
              </div>
              <blockquote cite="mid:5A5C3BF0-F4CF-43FD-BE85-D7590AAED81E@owasp.org" type="cite">
                <pre wrap="">They all are, the problem is, they are all trusted the same by the browser, regardless of whether you pay $5 a year for your certificate to be signed, or a thousand times that amount.
-A
On Dec 26, 2013, at 3:57 PM, Gregory Disney <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:gregory.disney@owasp.org"><gregory.disney@owasp.org></a> wrote:

</pre>
                <blockquote type="cite">
                  <pre wrap="">Isn't that the whole point of certificate authority to be considered a trustworthy signer?
On 12/26/13, 12:49 PM, Abbas Naderi wrote:
</pre>
                  <blockquote type="cite">
                    <pre wrap="">There is no such thing as the legitimacy of the signer. As long as someone trusted has signed a certificate, that one is deemed trusted too.
-A
On Dec 26, 2013, at 3:36 PM, Gregory Disney <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:gregory.disney@owasp.org"><gregory.disney@owasp.org></a> wrote:

</pre>
                    <blockquote type="cite">
                      <pre wrap="">Problem is browser should by default check the legitimacy of the signer, if it loaded into the CA-certs bundle in mozilla, majority besides akamia will show no difference. Well this trick isn't for governments anymore, it's for everybody.  :)
On 12/26/13, 12:26 PM, Abbas Naderi wrote:
</pre>
                      <blockquote type="cite">
                        <pre wrap="">Well this is changing the signer, e.g google is signed by a Level one and youíre using a Level 3.
This is an old trick though, many countries already used this to sniff on their people. The simplest way to stop it is to store fingerprints and check them later.
</pre>
                      </blockquote>
                    </blockquote>
                  </blockquote>
                </blockquote>
                <br>
                <fieldset class="mimeAttachmentHeader"></fieldset>
                <br>
                <pre wrap="">_______________________________________________
OWASP-Leaders mailing list
<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a moz-do-not-send="true" class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
              </blockquote>
              <br>
            </div>
          </blockquote>
        </div>
        <br>
      </div>
    </blockquote>
    <br>
  </div>

</blockquote></div><br></div></body></html>