<div dir="ltr"><div><div>given the images seen on the links, both certs are signed by the same entity (i cannot see the pubKey ID but issuer names match), yet have the same serial number 3014267. Isn't the (serial number + issuer pub key identifier) supposed to be unique and identify a cert uniquely?<br>
</div>is it common practice for a CA to issue different certs (even to the same entity) with the same serial number?<br></div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Aug 13, 2013 at 10:25 AM, Jeffrey Walton <span dir="ltr"><<a href="mailto:noloader@gmail.com" target="_blank">noloader@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Tue, Aug 13, 2013 at 5:10 AM, Peter Gutmann<br>
<<a href="mailto:pgut001@cs.auckland.ac.nz">pgut001@cs.auckland.ac.nz</a>> wrote:<br>
> I recently got a another of the standard phishing emails for Paypal, directing<br>
> me to <a href="https://email-edg.paypal.com" target="_blank">https://email-edg.paypal.com</a>, which redirects to<br>
> <a href="https://view.paypal-communication.com" target="_blank">https://view.paypal-communication.com</a>, which has a PayPal EV certificate from<br>
> Verisign.  According to this post<br>
> <a href="http://www.onelogin.com/a-paypal-phishing-attack/" target="_blank">http://www.onelogin.com/a-paypal-phishing-attack/</a> it may or may not be a<br>
> phishing attack (no-one's really sure), and this post<br>
> <a href="http://www.linuxevolution.net/?p=12" target="_blank">http://www.linuxevolution.net/?p=12</a> says it is a phishing attack and the site<br>
> will be shut down by Paypal... back in May 2011.<br>
><br>
> Can anyone explain this?  It's either a really clever phish (or the CAs are<br>
> following their historically lax levels of checking), or Paypal has joined the<br>
> ranks of US banks in training their users to become phishing victims.<br>
</div>If that's true, I think the more interesting fact is: it appears<br>
<a href="http://email-edg.paypal.com" target="_blank">email-edg.paypal.com</a> is controlled by the attacker. Why else would<br>
Paypal redirect from a host in their domain to a host not in their<br>
domain controlled by the adversary? (Its a bit different than standard<br>
phishing training where both hosts/domains are controlled by Paypal).<br>
<br>
Has Paypal fess'ed up to any break-ins or  breaches?<br>
<br>
Jeff<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
</div></div></blockquote></div><br></div>