Why would people self sign certificates with the existence of free certificate options like <a href="http://www.startssl.com/">http://www.startssl.com/</a>?  A self signed certificate also is unable to be saved in Google Chrome, so it's difficult to build up trust even with my own servers' self signed certs.  There are the identity certs too: Client and mail certificates (S/MIME).  You also get $10,000 of insurance.<div>

<br></div><div>The only thing you lose with startssl is the same thing you lose from any ssl signed certificate: the root certificates trusted by your browser include the <a href="http://lwn.net/Articles/372264/">CINIC</a> and, in case you trust an organization possibly controlled by the Chinese government, the rest of the list of CA root certs are controlled by selfish corporations/organizations who would turn you in whenever it best suits them.  You know, that one little thing.<br>

<br>Randall Mason<br><br>On Sat, Oct 29, 2011 at 2:54 PM, Shawn Willden <<a href="mailto:shawn@willden.org">shawn@willden.org</a>> wrote:<br>> On Sat, Oct 29, 2011 at 2:07 AM, Olaf TNSB <<a href="mailto:still.another.person@gmail.com">still.another.person@gmail.com</a>><br>

> wrote:<br>>><br>>> an object with no WoT (i.e. a new, self signed, SSL cert) is pretty<br>>> worthless...at least in my mind.<br>><br>> Certainly a new, self-signed SSL cert is worthless, in that it doesn't give<br>

> you any greater confidence in the site you're visiting than if it used plain<br>> HTTP.<br>> The question is:  Why would you trust the self-signed SSL cert *less* than<br>> you trust nothing?<br>> Put it this way:  Is there any information you'd be comfortable sending to<br>

> an unencrypted site but which you'd be uncomfortable sending to the same<br>> site with a self-signed cert?<br>> IMO, the point of self-signed certs isn't to allow secure exchange of<br>> sensitive data.  The point of self-signed certs is to allow casual,<br>

> opportunistic encryption; to decrease the value of general monitoring of web<br>> traffic.<br>> Though an old self-signed cert, one that you've seen hundreds of times over<br>> the course of years,  does have significant security value.  IMO, more than<br>

> a new CA-signed cert.<br>> I'd also love to see client-side self-signed (or even unsigned) certificates<br>> become common as a second authentication factor.  Or even as primary<br>> identification and authentication for sites that don't handle secure<br>

> information and just want a zero-user-effort mechanism for establishing a<br>> user account.<br>> --<br>> Shawn<br>><br>> _______________________________________________<br>> tahoe-dev mailing list<br>

> <a href="mailto:tahoe-dev@tahoe-lafs.org">tahoe-dev@tahoe-lafs.org</a><br>> <a href="http://tahoe-lafs.org/cgi-bin/mailman/listinfo/tahoe-dev">http://tahoe-lafs.org/cgi-bin/mailman/listinfo/tahoe-dev</a><br>><br>

><br><br></div>