[PPT] - Online Trust and Digital Certificates: The Policy Landscape Stephen PowerPoint Presentation

SLIDE 1

Online Trust and Digital Certificates: The Policy Landscape

Stephen Schultze Associate Director Center for Information Technology Policy, Princeton

SLIDE 2

The ¡Stakeholders

browsers ¡and ¡opera2ng ¡system ¡vendors cer2ficate ¡authori2es sites ¡(“subscribers”) end-‑users ¡(“relying ¡par2es”)

SLIDE 3

Browsers ¡and ¡OS ¡Vendors

desktop mobile

SLIDE 4

Cer2ficate ¡Authori2es

public private

SLIDE 5

Sites ¡(“Subscribers”)

SLIDE 6

End-‑Users ¡(“Relying ¡Par2es”)

You.

SLIDE 7

end-‑users ¡(“relying ¡par2es”) cer2ficate ¡authority browser ¡/ ¡OS ¡vendor sites ¡(“subscribers”)

“approve ¡me ¡ for ¡the ¡list?” “yes!” “do ¡you ¡believe ¡that I ¡am ¡who ¡I ¡say ¡I ¡am?” “yes!” “send ¡me ¡a secure ¡page” “here ¡you ¡go” browser ¡with root ¡cer2ficate ¡list

SLIDE 8

Why ¡should ¡users ¡trust ¡the ¡system? they ¡know ¡the ¡CA

‑ ¡or ¡-‑

they ¡believe ¡that ¡the ¡overall ¡process ¡is ¡trustworthy ¡ ¡

SLIDE 9

end-‑users ¡(“relying ¡par2es”) cer2ficate ¡authority browser ¡/ ¡OS ¡vendor sites ¡(“subscribers”)

“approve ¡me ¡ for ¡the ¡list?” “yes!” “do ¡you ¡believe ¡that I ¡am ¡who ¡I ¡say ¡I ¡am?” “yes!” “send ¡me ¡a secure ¡page” “here ¡you ¡go” (policy ¡decision) (policy ¡decision) browser ¡with root ¡cer2ficate ¡list

SLIDE 10

Policy ¡Decision ¡Points

CA ¡approval ¡by ¡browser Site ¡approval ¡by ¡CA

SLIDE 11

Where ¡Policy ¡Lives

auditor ¡schemes cer2ficate ¡authority ¡policies browser ¡/ ¡os ¡policies standards ¡bodies

SLIDE 12

Auditor ¡Standards

WebTrust ¡(CPA) ETSI ANSI CA/Browser ¡Forum

SLIDE 13

CA ¡Policies

Cer2fica2on ¡Prac2ce ¡Statement Cer2ficate ¡Policy Subscriber ¡Agreement

SLIDE 14

Browser ¡/ ¡OS ¡Policies

(mozilla ¡cer2ficate ¡policy)

We ¡reserve ¡the ¡right ¡to ¡not ¡include ¡a ¡par2cular ¡CA ¡cer2ficate ¡[...] ¡with ¡CAs ¡that

knowingly ¡issue ¡cer2ficates ¡without ¡the ¡knowledge ¡of ¡the ¡en22es ¡whose ¡

informa2on ¡is ¡referenced ¡in ¡the ¡cer2ficates; ¡or

knowingly ¡issue ¡cer2ficates ¡that ¡appear ¡to ¡be ¡intended ¡for ¡fraudulent ¡use.

[F]or ¡a ¡cer2ficate ¡to ¡be ¡used ¡for ¡SSL-‑enabled ¡servers, ¡the ¡CA ¡takes ¡reasonable ¡ measures ¡to ¡verify ¡that ¡the ¡en2ty ¡submiZng ¡the ¡cer2ficate ¡signing ¡request ¡has ¡ registered ¡the ¡domain(s) ¡referenced ¡in ¡the ¡cer7ficate ¡or ¡has ¡been ¡authorized ¡by ¡ the ¡domain ¡registrant ¡to ¡act ¡on ¡the ¡registrant's ¡behalf; ¡ ¡ ¡ [F]or ¡cer2ficates ¡to ¡be ¡used ¡for ¡and ¡marked ¡as ¡Extended ¡Valida2on, ¡the ¡CA ¡ complies ¡with ¡Guidelines ¡for ¡the ¡Issuance ¡and ¡Management ¡of ¡Extended ¡ Valida2on ¡Cer2ficates ¡(as ¡modified ¡by ¡the ¡erratum ¡ ¡published ¡by ¡the ¡CAB ¡Forum) (under ¡revision)

SLIDE 15

Browser ¡/ ¡OS ¡Policies

By ¡"competent ¡party" ¡we ¡mean ¡a ¡person ¡or ¡other ¡en2ty ¡who ¡is ¡ authorized ¡to ¡perform ¡audits ¡according ¡to ¡the ¡stated ¡criteria ¡(e.g., ¡by ¡the ¡

rganiza2on ¡responsible ¡for ¡the ¡criteria ¡or ¡by ¡a ¡relevant ¡government ¡

agency) ¡or ¡for ¡whom ¡there ¡is ¡sufficient ¡public ¡informa2on ¡available ¡to ¡ determine ¡that ¡the ¡party ¡is ¡competent ¡to ¡judge ¡the ¡CA's ¡conformance ¡to ¡ the ¡stated ¡criteria. ¡In ¡the ¡lacer ¡case ¡the ¡"public ¡informa2on" ¡referred ¡to ¡ should ¡include ¡informa2on ¡regarding ¡the ¡party's

knowledge ¡of ¡CA-‑related ¡technical ¡issues ¡such ¡as ¡public ¡key ¡

cryptography ¡and ¡related ¡standards;

experience ¡in ¡performing ¡security-‑related ¡audits, ¡evalua2ons, ¡or ¡risk ¡

analyses; ¡and

honesty ¡and ¡objec2vity.

(mozilla ¡cer2ficate ¡policy)

(under ¡revision)

SLIDE 16

Standards ¡Bodies

IETF ICANN NIST

SLIDE 17

end-‑users ¡(“relying ¡par2es”) cer2ficate ¡authority browser ¡/ ¡OS ¡vendor sites ¡(“subscribers”)

“approve ¡me ¡ for ¡the ¡list?” “yes!” “do ¡you ¡believe ¡that I ¡am ¡who ¡I ¡say ¡I ¡am?” “yes!” “send ¡me ¡a secure ¡page” “here ¡you ¡go” (because ¡your ¡ auditor ¡said ¡so) (because ¡I ¡sent ¡ you ¡an ¡email) browser ¡with root ¡cer2ficate ¡list

SLIDE 18

end-‑users ¡(“relying ¡par2es”) cer2ficate ¡authority browser ¡/ ¡OS ¡vendor sites ¡(“subscribers”)

“approve ¡me ¡ for ¡the ¡list?” “yes!” “do ¡you ¡believe ¡that I ¡am ¡who ¡I ¡say ¡I ¡am?” “yes!” “send ¡me ¡a secure ¡page” “here ¡you ¡go” (because ¡your ¡ auditor ¡said ¡so) (because ¡I ¡sent ¡ you ¡an ¡email) browser ¡with root ¡cer2ficate ¡list

SLIDE 19

Some ¡Problems

SLIDE 20

Unconstrained ¡Delega2on

(delega2on ¡gives ¡ subordinate ¡CAs “god-‑like” ¡power)

SLIDE 21

No ¡Excludability

(a ¡site ¡can’t ¡say, ¡“only ¡trust ¡one ¡specific ¡ cer2ficate ¡authority ¡for ¡iden2fying ¡me”)

SLIDE 22

Hundreds ¡of ¡CAs

(the ¡“weakest ¡link” ¡problem) (manageable ¡load ¡for ¡vendors?)

SLIDE 23

Perfect ¡Audits ¡ Aren’t ¡Enough

(they ¡don’t ¡even ¡include ¡third-‑par2es like ¡subordinate ¡CAs ¡or ¡RAs)

SLIDE 24

Bad ¡Economic ¡Incen2ves

(“race ¡to ¡the ¡bocom” ¡for ¡ cer2ficate ¡authori2es ¡and ¡auditors)

SLIDE 25

Vendors ¡Don’t ¡Drop ¡CAs

(and ¡they ¡don’t ¡have ¡a ¡“licle ¡s2ck” ¡either)

SLIDE 26

Vendors ¡Won’t ¡Judge ¡ “Trustworthiness”

(only ¡the ¡process ¡that ¡ the ¡CA ¡claims ¡to ¡follow)

SLIDE 27

Technical ¡Bad ¡Prac2ces

“192.168.1.2” “localhost” “508 ¡bit ¡RSA ¡keys” “CA: ¡FALSE”

( )

* ¡see ¡Peter’s ¡DEFCON ¡slides

SLIDE 28

Jurisdic2on ¡is ¡Complicated

(“whose ¡law?”)

SLIDE 29

Hope

not ¡many ¡browsers/os’s patches ¡are ¡possible poten2al ¡par2al ¡alterna2ves/ augmenta2ons ¡

SLIDE 30

#ethreats