<div dir="ltr">Even with only perfect public CAs that do not issue certificates for unapproved namespaces, the problem persists.<div><br></div><div><div style>A company can have a private namespace (TLD) for its internal use, and a private CA, trusted by its employees. The mail server would have a name in this private namespace, with a certificate issued by this CA. Employees laptops connect to this mail server using the private name, everything works fine.</div>
</div><div style>When an employee takes his laptop outside of the private network, the MUA tries to connect to resolve the private name of the mail server and connect to it. If this private TLD becomes public, the owner can get a valid public certificate for his brand new TLD, and the previous employee would then connect to an existing mail server with a valid public certificate and send its credentials.</div>
<div style><br></div><div style>No public CA are involved in this scenario, and ".corp" is a TLD widely used for internal networks.</div><div style><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
2013/4/13 ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank">iang@iang.org</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
On 13/04/13 04:50 AM, <a href="mailto:dan@geer.org" target="_blank">dan@geer.org</a> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
naming is hard as CAs now get to demonstrate<br>
</blockquote>
<br></div>
...<div class="im"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Once ICANN approves the<br>
gTLD, the attacker has a legitimate certificate to go about performing<br>
man-in-the-middle attacks.<br>
</blockquote>
<br>
<br></div>
By waiting for ICANN approval of a namespace, CAs can now validly issue name clashes within an approved space, and thus everyone can rest easy. ┬áThat makes sense.<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
<br>
iang</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<u></u>_________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net" target="_blank">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/<u></u>mailman/listinfo/cryptography</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Erwann.
</div></div>