<br><br><div class="gmail_quote">On Sun Sep 28 2014 at 8:52:47 AM Peter Gutmann <<a href="mailto:pgut001@cs.auckland.ac.nz">pgut001@cs.auckland.ac.nz</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Chris Palmer <<a href="mailto:snackypants@gmail.com" target="_blank">snackypants@gmail.com</a>> writes:<br>
<br>
>On Saturday, September 27, 2014, Peter Gutmann <<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>> wrote:<br>
>> That's always puzzled me about CT, who is going to monitor these logs, and why<br>
>> would they bother?  This seems to be built from the same fallacy as "open-<br>
>> source code is more secure because lots of people will be auditing the code<br>
>> for security bugs".<br>
><br>
>It's a simple matter of a shell script to scan logs for misissuance for names<br>
>you care about. Google certainly cares, EFF and other activist organizations,<br>
>PayPal, Facebook, ...<br>
<br>
So in other words it'll help the organisations who are already more or less<br>
covered by certificate pinning (except that CT does it in a really roundabout,<br>
complex manner rather than directly at the source as pinning does).<br>
<br>
Looking at what CT gives you, there seem to be three scenarios to cover:<br>
<br>
1. Cert issued for Google or Paypal.<br>
2. Cert issued for First Bank of Podunk.<br>
3. Cert issued for <a href="http://www.verify-chase-credit-card.com" target="_blank">www.verify-chase-credit-card.<u></u>com</a>.<br>
<br>
Case #1 is already handled by pinning, and cases #2 and #3 won't be helped<br>
through CT. </blockquote><div><br></div><div>Why not? I'm not sure what your threat model is for 2, so hard to respond to it, but for 3, CT will allow you to see that this cert has been issued and object to it.</div><div><br></div></div>