<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Dear Nicolai,<div><br></div><div><div>On Sep 25, 2014, at 8:29 PM, Nicolai <<a href="mailto:nicolai-cryptography@chocolatine.org">nicolai-cryptography@chocolatine.org</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">It seems to me that CT could benefit security only in a "trickle down"<br>sense: if a cert is improperly issued against a major domain like<br><a href="http://google.com">google.com</a>, that CA can be punished by Chromium/Chrome, with the logs<br>providing political/legal cover.  And maybe the benefit trickles down.<br><br>But what about normal people?  I have to check up to 1000 different logs<br>to see if I've been attacked?  And if I find out that's the case, would<br>people care about little old me enough to burn a CA such as Comodo?<br><br>It seems CT could potentially be of benefit to some large organizations<br>while having little to no impact on ordinary people like myself.  If<br>that's wrong I'd like to know how/why.<br></blockquote><div><br></div>That is a remarkably insightful observation that I did not think of myself, and so far as I know it's a criticism of CT that no one has brought up before. Thank you for that.</div><div><br></div><div><blockquote type="cite">I have to check up to 1000 different logs to see if I've been attacked?</blockquote></div><div><div><br class="webkit-block-placeholder"></div><div>I am not sure. The RFC sure seems to imply that, but the problem is that Google hasn't finished specifying how gossip works, and depending on how they do it, it may or may not change what most domain owners need to do.</div><div><br></div><div>For the sake of argument, let's give Google the benefit of the doubt and assume that gossip turns out to be 99% reliable at detecting attacks post-facto.</div><div><br></div><div>There still remains a problem: what now?</div><div><br></div><div>This the other question you asked:</div><div><br></div><div><blockquote type="cite">And if I find out that's the case, would people care about little old me enough to burn a CA such as Comodo?</blockquote></div><div><br class="webkit-block-placeholder"></div><div>I think it depends on the situation, and the frequency with which "malfunctions" occur.</div><div><br></div><div>If malfunctions occur to "little old me"'s infrequently, I suspect little will be done.</div><div><br></div><div>When I detected what was most likely a MITM attack on me, and provided evidence of it [1], nothing was done.</div><div><br></div><div>[1] <a href="https://twitter.com/taoeffect/status/463378963901849600">https://twitter.com/taoeffect/status/463378963901849600</a></div><div><br></div><div>Now, let's throw Google yet another bone, and let's say that people behave differently for some reason than they've done so far, and they actually care and raise a ruckus about it.</div><div><br></div><div>For some people, this ruckus will come too late, and will be of no benefit.</div><div><br></div><div>CT doesn't prevent MITM attacks. Damage will have been done.</div><div><br></div><div><blockquote type="cite">When LibreSSL has a non-preview release or two under its belt I'd like<br>to try DNSChain, but for now I'm unwilling to touch major TLS libraries.<br>DNSChain and MinimaLT seem like they could be a great match...</blockquote></div><div><br></div><div>Yes... someone brought that up before... :)</div><div><br></div><div><a href="http://arxiv.org/abs/1407.6453">http://arxiv.org/abs/1407.6453</a></div><div><br></div><div>Is there someone out there who would like to help us make that into a reality? Get in touch:</div><div><br></div><div><a href="https://github.com/okTurtles/dnschain/blob/master/README.md#Community">https://github.com/okTurtles/dnschain/blob/master/README.md#Community</a></div><div><br></div><div>Thanks again for your comment!</div><div><br></div><div>Kind regards,</div><div>Greg Slepak</div><div>
<br class="Apple-interchange-newline"><span style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; display: inline !important; float: none;">--</span><br style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><span style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; display: inline !important; float: none;">Please do not email me anything that you are not comfortable also sharing</span><span style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; display: inline !important; float: none;"> with the NSA.</span>
</div>
<br></div></body></html>