<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Well then it just introduces the new pinning attacks that existed on DNS. Thats not a solution.<div>-A<br><div><div>On Dec 29, 2013, at 4:30 AM, Tobias <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">
  
    <meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">
  
  <div bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Hi, <br>
      <br>
      just fyi: the browser vendors are in the IETF currently working on
      cert pinning, which should be released very soon and will pin the
      cert to a domain. (With that the browser will only accept your
      pinned domain cert for your domain, instead of any one from any of
      the 640s CAs worldwide.) This was developed as a response out of
      the Diginotar/Comodo incidents in 2011. <br>
      <br>
      Best regards, Tobias<br>
      <br>
      <br>
      On 26/12/13 21:05, Abbas Naderi wrote:<br>
    </div>
    <blockquote cite="mid:5A5C3BF0-F4CF-43FD-BE85-D7590AAED81E@owasp.org" type="cite">
      <pre wrap="">They all are, the problem is, they are all trusted the same by the browser, regardless of whether you pay $5 a year for your certificate to be signed, or a thousand times that amount.
-A
On Dec 26, 2013, at 3:57 PM, Gregory Disney <a class="moz-txt-link-rfc2396E" href="mailto:gregory.disney@owasp.org"><gregory.disney@owasp.org></a> wrote:

</pre>
      <blockquote type="cite">
        <pre wrap="">Isn't that the whole point of certificate authority to be considered a trustworthy signer?
On 12/26/13, 12:49 PM, Abbas Naderi wrote:
</pre>
        <blockquote type="cite">
          <pre wrap="">There is no such thing as the legitimacy of the signer. As long as someone trusted has signed a certificate, that one is deemed trusted too.
-A
On Dec 26, 2013, at 3:36 PM, Gregory Disney <a class="moz-txt-link-rfc2396E" href="mailto:gregory.disney@owasp.org"><gregory.disney@owasp.org></a> wrote:

</pre>
          <blockquote type="cite">
            <pre wrap="">Problem is browser should by default check the legitimacy of the signer, if it loaded into the CA-certs bundle in mozilla, majority besides akamia will show no difference. Well this trick isn't for governments anymore, it's for everybody.  :)
On 12/26/13, 12:26 PM, Abbas Naderi wrote:
</pre>
            <blockquote type="cite">
              <pre wrap="">Well this is changing the signer, e.g google is signed by a Level one and you’re using a Level 3.
This is an old trick though, many countries already used this to sniff on their people. The simplest way to stop it is to store fingerprints and check them later.
</pre>
            </blockquote>
          </blockquote>
        </blockquote>
        <pre wrap=""></pre>
      </blockquote>
      <pre wrap=""></pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
OWASP-Leaders mailing list
<a class="moz-txt-link-abbreviated" href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a>
<a class="moz-txt-link-freetext" href="https://lists.owasp.org/mailman/listinfo/owasp-leaders">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a>
</pre>
    </blockquote>
    <br>
  </div>

</blockquote></div><br></div></body></html>