<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Try these attacks against Twitter or Google properties in Chrome and they will fail. Chrome already pins these sites - not to mention the preconfigured HSTS headers. These additions significantly reduce the attack surface against HTTPS, even when CA's sell or have their main CA signing private cert stolen.<br>
<br><div>--</div><div>Jim Manico</div><div>@Manicode</div><div>(808) 652-3805</div></div><div><br>On Dec 29, 2013, at 7:41 AM, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:<br>
<br></div><blockquote type="cite"><div>
  
    <meta content="text/html; charset=windows-1252" http-equiv="Content-Type">
  
  
    <div class="moz-cite-prefix">Hi Abbas, <br>
      well, am not sure to which DNS pinning attacks you are referring,
      but it is correct key pinning is not the perfect solution and has
      some weaknesses, but it significantly reduces the attack surface.
      <br>
      <a href="http://www.ietf.org/id/draft-ietf-websec-key-pinning-09.txt">http://www.ietf.org/id/draft-ietf-websec-key-pinning-09.txt</a><br>
      And hopefully it will be out and in all the browsers soon. <br>
      (we are in the last review iteration in WG last call at this
      moment.)<br>
      Cheers, Tobias<br>
      <br>
      <br>
      On 29/12/13 17:26, Abbas Naderi wrote:<br>
    </div>
    <blockquote cite="mid:CFF02DF6-A006-4681-8EB9-09165DCE8133@owasp.org" type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=windows-1252">
      Well then it just introduces the new pinning attacks that existed
      on DNS. Thats not a solution.
      <div>-A<br>
        <div>
          <div>On Dec 29, 2013, at 4:30 AM, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>>
            wrote:</div>
          <br class="Apple-interchange-newline">
          <blockquote type="cite">
            <meta content="text/html; charset=windows-1252" http-equiv="Content-Type">
            <div bgcolor="#FFFFFF" text="#000000">
              <div class="moz-cite-prefix">Hi, <br>
                <br>
                just fyi: the browser vendors are in the IETF currently
                working on cert pinning, which should be released very
                soon and will pin the cert to a domain. (With that the
                browser will only accept your pinned domain cert for
                your domain, instead of any one from any of the 640s CAs
                worldwide.) This was developed as a response out of the
                Diginotar/Comodo incidents in 2011. <br>
                <br>
                Best regards, Tobias<br>
                <br>
                <br>
                On 26/12/13 21:05, Abbas Naderi wrote:<br>
              </div>
              <blockquote cite="mid:5A5C3BF0-F4CF-43FD-BE85-D7590AAED81E@owasp.org" type="cite">
                <pre>They all are, the problem is, they are all trusted the same by the browser, regardless of whether you pay $5 a year for your certificate to be signed, or a thousand times that amount.
-A
On Dec 26, 2013, at 3:57 PM, Gregory Disney <a class="moz-txt-link-rfc2396E" href="mailto:gregory.disney@owasp.org"><gregory.disney@owasp.org></a> wrote:

</pre>
                <blockquote type="cite">
                  <pre>Isn't that the whole point of certificate authority to be considered a trustworthy signer?
On 12/26/13, 12:49 PM, Abbas Naderi wrote:
</pre>
                  <blockquote type="cite">
                    <pre>There is no such thing as the legitimacy of the signer. As long as someone trusted has signed a certificate, that one is deemed trusted too.
-A
On Dec 26, 2013, at 3:36 PM, Gregory Disney <a class="moz-txt-link-rfc2396E" href="mailto:gregory.disney@owasp.org"><gregory.disney@owasp.org></a> wrote:

</pre>
                    <blockquote type="cite">
                      <pre>Problem is browser should by default check the legitimacy of the signer, if it loaded into the CA-certs bundle in mozilla, majority besides akamia will show no difference. Well this trick isn't for governments anymore, it's for everybody.  :)
On 12/26/13, 12:26 PM, Abbas Naderi wrote:
</pre>
                      <blockquote type="cite">
                        <pre>Well this is changing the signer, e.g google is signed by a Level one and you’re using a Level 3.
This is an old trick though, many countries already used this to sniff on their people. The simplest way to stop it is to store fingerprints and check them later.
</pre>
                      </blockquote>
                    </blockquote>
                  </blockquote>
                </blockquote>
                <br>
                <fieldset class="mimeAttachmentHeader"></fieldset>
                <br>
                <pre>_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
              </blockquote>
              <br>
            </div>
          </blockquote>
        </div>
        <br>
      </div>
    </blockquote>
    <br>
  

</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>OWASP-Leaders mailing list</span><br><span><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a></span><br>
<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a></span><br></div></blockquote></body></html>