<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Den sön 3 maj 2020 07:40 <<a href="mailto:jamesd@echeque.com">jamesd@echeque.com</a>> skrev:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2020-05-01 03:49, Phillip Hallam-Baker wrote:<br>
> Oh yes and that business of me working for a 'for profit' CA. That has not<br>
> been true for well over a year. At this point it is now the EFF that is in<br>
> a position to profit greatly from the situation they helped create. Lets<br>
> Encrypt is probably worth in the region of half a billion dollars.<br>
> <br>
> Oh! Oh! people shout. But Lets Encrypt is 'not for profit'.<br>
<br>
LetsEncrypt made an excruciatingly painful process dead easy, and put <br>
control into the hands of those who should have control.<br>
<br>
LetsEncrypt deserves half a billion dollars.  The rest mostly deserve <br>
jail time.<br>
<br>
How does LetsEncrypt get that from providing a free service?<br>
<br>
The basic problem with certificates is that a very large number of <br>
entities can cook up a man in the middle certificate.  Have man in the <br>
middle certificates been observed in the wild?<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">A handful of instances of compromised certificates and erroneously issued certificates being used maliciously in the wild has been discovered. </div><div dir="auto"><br></div><div dir="auto">I think a major issue that makes detection hard is that we don't have reliable means of tracking worldwide certificate use. Who exactly will realize that the valid certificate for site X is being used by a server on the wrong IP? What browser will be logging this and phoning back home about what servers it saw using which certificates? </div><div dir="auto"><br></div><div dir="auto">As for mistakenly issued certificates, a major part of the issue is that the issuer often don't log them properly, so we don't see that much either. </div><div dir="auto"><br></div><div dir="auto">These things are most often detected when somebody performs a broad scan for certificates in use (rarely) or when somebody spots strange behavior in their networks and tracks down the source of the traffic. </div><div dir="auto"><br></div><div dir="auto">So we don't really know how widespread MITM with bad/stolen certs really is. </div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>