May 23, 2014

Security Standards and Name Changes in the Browser Wars

The Netscape/Microsoft browser wars in the mid-90's were really vicious and competitive. They really had it out for each other.

Netscape had developed the SSL protocol. The initial version had cryptographic flaws and was broken pretty quickly, and never released. The first production version was SSL 2, which was in use for a few years. (I don't know the exact versions of Navigator it shipped in.)

SSL 2 had some flaws, both cryptographic and practical; not dramatic enough to make replacing it a crisis, but it clearly needed some work from early on.

As a part of the cutthroat competition, Microsoft decided to revise the SSL 2 protocol with some additions of their own, and specified a protocol called "PCT" that was derived from SSL 2. It was only supported in IE and IIS.

Netscape also wanted to address SSL 2 issues, but wasn't going to let Microsoft take leadership/ownership in the standard, so they developed SSL 3.0, which was a more significant departure.

Various people in the industry & community didn't want a fork, so we (Consensus Development, where I worked with Christopher Allen at the time, and where I had written the SSL 3.0 reference implementation under contract to Netscape) hosted a meeting between representatives from Netscape and Microsoft; I forget everyone who was there, but I recall that Bruce Schneier was there (before he was famous), and probably Paul Kocher, who had designed the SSL 3 protocol; Barbara Fox represented Microsoft. And we negotiated a deal where Microsoft and Netscape would both support the IETF taking over the protocol and standardizing it in an open process, which led to me editing the RFC.

As a part of the horsetrading, we had to make some changes to SSL 3.0 (so it wouldn't look the IETF was just rubberstamping Netscape's protocol), and we had to rename the protocol (for the same reason). And thus was born TLS 1.0 (which was really SSL 3.1). And of course, now, in retrospect, the whole thing looks silly.

7 comments:

Yuhong Bao said...

SSLv2 shipped in Netscape 1.1 in 1995. SSLv3 shipped in Netscape 2 in 1996.

Tim Dierks said...

Thanks for the timeline clarification. I remember it as longer, but I'm sure you're right—I wrote the SSL 3 reference implementation in summer/fall of 1996, I'm pretty sure.

Yuhong Bao said...

On this matter, anyone remember the Netscape random number generator bug:
http://www.cs.berkeley.edu/~daw/papers/ddj-netscape.html
Notice the paragraph at the end about RSA Data Security!

bob said...

Yuhong, I remember that! My computer security professor this past semester was David Wagner, and and mentioned it in class.

Adam Brudo said...

If you are using an electronic device that you cannot configure as required or for which you cannot confirm that it is securely configured (such as a public kiosk computer or a computer in a hotel, for example), that computer may not be secure and may not be used to conduct BU business. If you want to secure your documents while data sharing, you'd better use VDR. You can help yourself using the best one - iDeals data room service.

kio yuri said...

Cách sử dụng dầu oliu dưỡng tócmình xin hướng dẫn các bạn những cách sử dụng dầu oliu dưỡng tóc hiệu quả nhé, cùng xem các bước dưới đây nào!
Tác dụng của dầu oliuDầu ô-liu là một loại dầu thu được từ cây Ô liu (Olea europaea, thuộc họ Oleaceae), một loại cây truyền thống của vùng Địa Trung Hải.
Đậu tương có tác dụng gì?bài viết Đậu tương có tác dụng gì sẽ giúp mọi người hiểu rõ hơn về những công dụng tuyệt vời mà đậu tương mang lại cho sức khỏe chúng ta nhé, cùng đón xem bài viết nào!
Viêm âm đạo là gì?Để giúp mọi người hiểu rõ hơn về bệnh này, sau đây bài viết Viêm âm đạo là gì xin chia sẻ đến các bạn những thông tin hữu ích dưới đây, cùng đón xem bài viết nhé!
Viêm âm đạo khi mang thai có sao không?Viêm âm đạo khi mang thai có sao không là câu hỏi dược đặt ra ở hầu hết các chị em gặp phải trường hợp này.
Nguyên nhân và dấu hiệu viêm âm đạoTuy nhiên, không phải ai cũng biết và hiểu về bệnh lý này. Viêm âm đạo tuy không nguy hiểm tới mức ảnh hưởng trực tiếp đến tính mạng người bệnh nhưng nếu không được điều trị nó lại là nguyên nhân dẫn đến hiếm muộn và các bệnh lý liên quan khác
Hải sâm là gì - nấu món gì ngon ?Hải sâm là gì? có lẻ đây là câu hỏi cũng không ít người đang tò mò muốn biết, là một thực phẩm được xem là hảo hạng, mang đến nhiều giá trị dinh dưỡng vô cùng quan trọng cho con người
Hải sâm có tác dụng gì?Hải sâm là một loại thực phẩm biển tuyệt hảo, món ăn bổ dưỡng và khoái khẩu của nhiều thực khách tại các nước như Malaysia, Trung Quốc, Nhật Bản, Indonesia
Ăn ngải cứu có tác dụng gì?Sau đây bài viết ăn ngải cứu có tác dụng gì sẽ giúp các bạn hiểu rõ hơn về tác dụng cũng như mặt hại của loại cây này nhé, cùng theo dõi bài viết sau đây nào!
Công dụng của ngải cứu đối với bà bầuTuy nhiên các chuyên gia dinh dưỡng nhận định rằng không phải vì thế mà phủ nhận vai trò của ngải cứu khi mang thai. Việc ăn ngải cứu như thế nào để tốt nhất cho thai nhi và thể trạng của người mẹ.
Hiếm muộn là gì?Chính vì vậy, nếu họ không áp dụng bất cứ biện pháp tránh thai nào thì có khoảng 90% sẽ có con sau 1 năm chúng sống.

Nhan Nguyen said...

fado facebookshopping services worldwide. Fast, reliable, widely used, low cost