website/vision.mdwn

   1 [[meta title="Our vision for the future of the monkeysphere"]]
   2
   3 ## External Validation Agent ##
   4
   5 This is probably at the crux of the Monkeysphere vision for the future:
   6
   7 * [Simon Josefsson proposed out-of-process certificate verification model in gnutls-devel](http://news.gmane.org/find-root.php?group=gmane.comp.encryption.gpg.gnutls.devel&article=3231)
   8 * [Werner Koch's dirmngr](http://www.gnupg.org/documentation/manuals/dirmngr/)
   9 * [GnuTLS wiki external validation](http://redmine.josefsson.org/wiki/gnutls/GnuTLSExternalValidation)
  10 * [Pathfinder PKI validation](http://code.google.com/p/pathfinder-pki/) (includes validation plugins for OpenSSL and LibNSS).
  11
  12 ## TLS transition strategies ##
  13
  14 While [RFC 5081](http://tools.ietf.org/html/rfc5081) is quite a while
  15 off from widespread adoption, it would be good to have an interim
  16 translation step.  This is analogous to the SSH work we've done, where
  17 the on-the-wire protocol remains the same, but the keys themselves are
  18 looked up in the OpenPGP WoT.
  19
  20 Firefox extensions that deal with certificate validation seem to be
  21 the easiest path toward demonstrating this technique.  We should look
  22 at:
  23
  24 * [SSL Blacklist](http://codefromthe70s.org/sslblacklist.aspx)
  25 * [Perspectives](http://www.cs.cmu.edu/~perspectives/firefox.html)
  26 * there is another firefox extension that basically disables all TLS certificate checking.  The download page says things like "this is a bad idea" and "do not install this extension", but i'm unable to find it at the moment.
  27
  28 ## Related discussions ##
  29
  30 * [Wandering Thoughts blog discussion about Web of Trust flaws](http://utcc.utoronto.ca/~cks/space/blog/tech/WebOfTrustFlaws?showcomments)
  31 * [Wandering Thoughts blog discussion about certificate authorities](http://utcc.utoronto.ca/~cks/space/blog/web/SSLCANeed?showcomments)