<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, May 5, 2015 at 10:25 PM, grarpamp <span dir="ltr"><<a href="mailto:grarpamp@gmail.com" target="_blank">grarpamp@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">> Browsers were being paid by CAs to include their certificate ...<br>
> so the CAs could sell certificates (paid for by merchants).<br>
<br>
</span>Yes, the common downfall... what starts as a two party crypto game<br>
which works, devolves into a third party money game that fails.<span class=""></span></blockquote><div><br></div>Much of what worries me is in the hands of the big boys.<br>Fortune 500, Russell 2000,  Visa, Mastercard, S&P Banks Index </div><div class="gmail_quote">and yes ISPs and .gov</div><div class="gmail_quote"><br></div><div class="gmail_quote">As a  moderately small group they should anchor their </div><div class="gmail_quote">web presence with an industry effort to protect</div><div class="gmail_quote">their DNS, https etc with improved tools. In addition</div><div class="gmail_quote">agencies like the FBI & DHS have a vested interest</div><div class="gmail_quote">in the stability of this rather modest set of critical business</div><div class="gmail_quote">activities.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Distributed audit tools and monitoring tools seem key.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Laws should make it astoundingly risky for businesses to</div><div class="gmail_quote">build firewalls and tools that compromise communication security </div><div class="gmail_quote">with impunity. Example... If a company intercepts banking transactions then they have</div><div class="gmail_quote">a liability associated with that private information that cannot</div><div class="gmail_quote">(by law) be signed away as a condition of employment.  </div><div class="gmail_quote"><br></div><div class="gmail_quote">As a process there is a need for a framework that monitors</div><div class="gmail_quote">key infrastructure.   Some needs global attention...</div><div class="gmail_quote"><br></div><div class="gmail_quote">It should also be difficult (illegal) for any TLA  to camp on a known to them</div><div class="gmail_quote">software or hardware flaw.   They can whitehat report it without threat</div><div class="gmail_quote">or timeline but must report it inside of a legal window of time.</div><div class="gmail_quote"><br><div><br></div></div><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>