
<html><body><p>The problem with making those little "Oh we'll allow it  for interoperability' choices is that they may end up as security vulnerabilities elsewhere. Particularly when there are multiple of them made.<br><br>So - it is quite reasonable to reject a change like that because it's near impossible to check all the little corner cases that it might expose.<br><br>Peter<br><br><br><br><img width="16" height="16" src="cid:1__=8FBBF5C4DF92695E8f9e8a93df938690918c8FB@" border="0" alt="Inactive hide details for "Blumenthal, Uri - 0553 - MITLL via RT" ---12/02/2016 10:13:22---Again, you are right, but what's the"><font color="#424282">"Blumenthal, Uri - 0553 - MITLL via RT" ---12/02/2016 10:13:22---Again, you are right, but what's the lesser evilı - being unable to use the new OpenSSL because it r</font><br><br><font size="2" color="#5F5F5F">From:        </font><font size="2">"Blumenthal, Uri - 0553 - MITLL via RT" <rt@openssl.org></font><br><font size="2" color="#5F5F5F">To:        </font><font size="2">bcristi@gmail.com</font><br><font size="2" color="#5F5F5F">Cc:        </font><font size="2">openssl-dev@openssl.org</font><br><font size="2" color="#5F5F5F">Date:        </font><font size="2">12/02/2016 10:13</font><br><font size="2" color="#5F5F5F">Subject:        </font><font size="2">Re: [openssl-dev] [openssl.org #4301] [BUG] OpenSSL 1.1.0-pre2        fails to parse x509 certificate in DER format</font><br><font size="2" color="#5F5F5F">Sent by:        </font><font size="2">"openssl-dev" <openssl-dev-bounces@openssl.org></font><br><hr width="100%" size="2" align="left" noshade style="color:#8091A5; "><br><br><br><tt>Again, you are right, but what's the lesser evilı - being unable to use the new OpenSSL because it refuses to deal with the cert that some dim-witten TPM maker screwed up, or accept a certificate with a (minor) violation of DER (but not of BER)? What bad in your opinion could happen if OpenSSL allowed parsing an integer with a leading zero byte (when it shouldn't be there by DER)?<br><br>Even in crypto (and that's the area I've been working in for quite a while) there are some shades of gray, not only black and white.<br><br>P.S. My platform of choice is Mac, and Apple does not put TPM there - so I won't gain from this decision, whichever way it turns. ;-) <br><br>Sent from my BlackBerry 10 smartphone on the Verizon Wireless 4G LTE network.<br>  Original Message  <br>From: Kurt Roeckx<br>Sent: Thursday, February 11, 2016 18:03ı<br>To: openssl-dev@openssl.orgı<br>Reply To: openssl-dev@openssl.org<br>Cc: Stephen Henson via RT; bcristi@gmail.com<br>Subject: Re: [openssl-dev] [openssl.org #4301] [BUG] OpenSSL 1.1.0-pre2 fails to                 parse x509 certificate in DER formatı<br><br>On Thu, Feb 11, 2016 at 10:53:25PM +0000, Blumenthal, Uri - 0553 - MITLL wrote:<br>> Might I suggest that the right thing in this case would be to keep generation strict, but relax the rules on parsing? "Be conservative in what you send, and liberal with what you receive"?<br><br>This might be good advice for some things, but ussually not when itı<br>comes to crypto.<br><br><br>Kurt<br><br>-- <br>openssl-dev mailing list<br>To unsubscribe: </tt><tt><a href="https://mta.openssl.org/mailman/listinfo/openssl-dev">https://mta.openssl.org/mailman/listinfo/openssl-dev</a></tt><tt><br><br><br>-- <br>Ticket here: </tt><tt><a href="http://rt.openssl.org/Ticket/Display.html?id=4301">http://rt.openssl.org/Ticket/Display.html?id=4301</a></tt><tt><br>Please log in as guest with password guest if prompted<br><br>[attachment "smime.p7s" deleted by Peter Waltenberg/Australia/IBM] -- <br>openssl-dev mailing list<br>To unsubscribe: </tt><tt><a href="https://mta.openssl.org/mailman/listinfo/openssl-dev">https://mta.openssl.org/mailman/listinfo/openssl-dev</a></tt><tt><br></tt><br><br><BR>


</body></html>