<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 14, 2013 at 4:24 PM, Dave Cridland <span dir="ltr"><<a href="mailto:dave@cridland.net" target="_blank">dave@cridland.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="im">On Thu, Nov 14, 2013 at 4:09 PM, Matt Miller <span dir="ltr"><<a href="mailto:linuxwolf@outer-planes.net" target="_blank">linuxwolf@outer-planes.net</a>></span> wrote:<br>
</div><div class="gmail_extra"><div class="gmail_quote"><div class="im">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><br>
On Nov 14, 2013, at 8:33 AM, Ralf Skyper Kaiser <<a href="mailto:skyper@thc.org" target="_blank">skyper@thc.org</a>> wrote:<span style="color:rgb(34,34,34)"> </span></div></blockquote></div><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>> Example: I'm running a private jabber server with around 200 users. I have strict a security guideline and currently have to trust my users to follow it. I trust the users to verify the server certificate against our own ROOT CA certificate.<br>

</div><div>
><br>
<br>
</div>Adding a new trust anchor is just about impossible on some mobile platforms, and could get more difficult on more traditional ones.<br>
<div><br></div></blockquote><div><br></div></div><div>DANE, of course, means that you can specify a particular private CA is used exclusively.</div></div></div></div></blockquote><div><br></div><div>Pinning does not require a CA at all (private or public). Why use a feature (DANE) that requires a CA if it is possible to have the same level of security with Pinning; which requires no CA, works well with self-signed certificates, requires no infrastructure upgrade and which puts the direct trust into the hands of the server-admins?<br>
<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div class="im"><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>
> Users are lazy (quote). I ran a test and invalidated our server's certificate. No user should connect if he follows the security guidelines. Yet more than half of them connected instantaneously (auto-reconnect).<br>


><br>
> Those users configured their client not to verify the server certificate at all. Because configuring the client this way is easier than importing the ROOT CA certificate.<br>
><br>
> The lazy option is to not verify the server's certificate. The lazy option is the insecure option<br>
><br>
> Yes, the user can hack the client and lie about if the client has correctly verified the server cert. This would take more time and work than importing the ROOT CA certificate.<br>
><br>
> The lazy option becomes importing the ROOT CA certificate. Now the lazy option is the secure option.<br>
><br>
<br>
</div>All it takes is for *one* (or a small handful) of your users to hack their client, and share that hacked client with other users.  If the platform the client runs on prevents new trust anchors from being installed, then getting the hacked client becomes the lazy option.<br>


<div><br></div></blockquote></div></div></div></div></blockquote><div><br></div><div>Works for tech-wizards (which make up <0.01% of the internet). Why does nobody care about the normal user who can barely open a .zip file and requires telephone support installing any kind of software?<br>
<br>The lazy option for the user is not to hack the client or download a patch. The lazy option is to select 'lockdown'.<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div></div></blockquote><div><br></div>
</div><div>Actually, the lazy option is to not upgrade the client to support whatever private extension that supports the particular variety of lockdown and so on that you want in the first place.</div></div></div></div></blockquote>
<div><br></div><div><br>1. The server admin has the option to ban old clients.<br><br></div></div>regards,<br><br>ralf<br><br></div></div>