<div dir="ltr"><div><div><div><div>in CT, how do you tell if a newly-generated cert is legitimate or not?<br></div>Say, I am a state-sponsored attacker and can get a cert signed by my national CA for barclays. How do you tell this cert is not legitimate? It could have been barclays' IT admin who asked for a new cert.<br>
</div>Do companies need to liaise with CT to tell them which certs are valid? Do they need to tell CT each time they change or get new certs? <br></div><div><br></div><div></div><div><br></div>Sorry if this is basic CT knowledge...<br>
</div>Thanks<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Aug 1, 2013 at 12:06 PM, Ben Laurie <span dir="ltr"><<a href="mailto:ben@links.org" target="_blank">ben@links.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Since there was some puzzlement over CT, I thought it might be of<br>
interest that we have revamped the site:<br>
<a href="http://www.certificate-transparency.org/" target="_blank">http://www.certificate-transparency.org/</a>.<br>
<br>
Comments and questions welcome.<br>
_______________________________________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
</blockquote></div><br></div>