<div dir="ltr"><div class="gmail_default" style="font-size:small">The problem with a lot of the approaches is that the folk proposing them start from the objective of eliminating all dependence on third parties, not minimizing risk.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Governments are bad, CAs are bad, yak yak yak, chunter, chunter, chunter, etc. etc.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The Web PKI was designed to authenticate and authorize Web sites. The encryption part was merely a byproduct. The original design brief was to make shopping online at least as secure and convenient as offline. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I find it rather interesting that some folk who were not part of those discussions try to lecture those of us who were. But I digress.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I think that we could make key pinning practical but it would require folk to limit their objective to protecting the user and require them to be less absolutist about support for corner cases.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Remember that when all is said and done, Google, Mozilla, Apple, Microsoft or whoever will be the third party you trust, likely two of them plus your AV provider. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The question to ask is what to do if a certificate is presented that does not meet the key pinning criteria. And this is a policy that the key pinning mechanism should allow the subject to specify ranging from, 'accept an alternative cert provided it is EV to require countersignatures from five EV CAs to 'shoot me in the foot, I have a death wish'.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Remember that any subject security policy can always be overridden by your browser provider and/or your platform provider.</div><div class="gmail_quote"></div></div>