<p>Shawn,</p>
<p>I'm not sure that I could be as relaxed about self signed certs as you. It feels a lot like when I download code with a gpg/pgp signature where the signing key hasn't been signed by anyone...</p>
<p>I think the web of trust idea is probably the solution for SSL certs, but I may be wrong.  :P</p>
<p>However, saying that, I found the following article from the EFF useful...</p>
<p><a href="https://www.eff.org/deeplinks/2011/09/post-mortem-iranian-diginotar-attack">https://www.eff.org/deeplinks/2011/09/post-mortem-iranian-diginotar-attack</a></p>
<p>I'm using Certificate Patrol (mentioned). I don't know that it makes me any safer, but I sure as hell feel more aware of the huge # of cert replacements that occur in my daily net usage.</p>
<p>Cheers,</p>
<p>Olaf<br></p>
<p>P.S. Apologies about the TOFU. I'm still learning my phone's email app.</p>
<div class="gmail_quote">On 29/10/2011 5:05 AM, "Shawn Willden" <<a href="mailto:shawn@willden.org" target="_blank">shawn@willden.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

OT:  Does anyone else think it's crazy that web browsers flash huge red warning signs when they see a self-signed cert, as though that's a clear indication of some sort of attack being attempted, which is almost never the case?<div>


<br></div><div>It's always seemed to me than an appropriate browser response to a self-signed cert is to accept it and use it to establish an encrypted session, but not to display the lock icon or anything else that would make the user think this page is especially secure.  For bonus points, browsers could implement ssh-style notification of server key changes.</div>


<div><br></div><div>But the sort of big scary warnings browsers now display makes no sense to me.</div><div><br><div class="gmail_quote">On Fri, Oct 28, 2011 at 10:22 AM, Brian Warner <span dir="ltr"><<a href="mailto:warner@lothar.com" target="_blank">warner@lothar.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The <a href="http://tahoe-lafs.org" target="_blank">tahoe-lafs.org</a> server has moved! But, we had a hiccup with the SSL<br>



certificate on the new server. While Zooko gets a new one generated and<br>
installed, there is a self-signed certificate in place. So don't be<br>
surprised if you see the "OMG SELF-SIGNED CERT NOO!" warning (known as<br>
the "Larry Dialog" in firefox). It should be fixed within a couple of<br>
hours, so don't feel obligated to bypass the warning.. just check back<br>
in later.<br>
<br>
migration!<br>
 -Brian<br>
_______________________________________________<br>
tahoe-dev mailing list<br>
<a href="mailto:tahoe-dev@tahoe-lafs.org" target="_blank">tahoe-dev@tahoe-lafs.org</a><br>
<a href="http://tahoe-lafs.org/cgi-bin/mailman/listinfo/tahoe-dev" target="_blank">http://tahoe-lafs.org/cgi-bin/mailman/listinfo/tahoe-dev</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Shawn<br>
</div>
<br>_______________________________________________<br>
tahoe-dev mailing list<br>
<a href="mailto:tahoe-dev@tahoe-lafs.org" target="_blank">tahoe-dev@tahoe-lafs.org</a><br>
<a href="http://tahoe-lafs.org/cgi-bin/mailman/listinfo/tahoe-dev" target="_blank">http://tahoe-lafs.org/cgi-bin/mailman/listinfo/tahoe-dev</a><br>
<br></blockquote></div>