<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 6 May 2019 at 06:10, Martin Guy via cfarm-users <<a href="mailto:cfarm-users@lists.tetaneutral.net">cfarm-users@lists.tetaneutral.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 05/05/2019, Jeffrey Walton via cfarm-users<br>
<<a href="mailto:cfarm-users@lists.tetaneutral.net" target="_blank">cfarm-users@lists.tetaneutral.net</a>> wrote:<br>
> On Sun, May 5, 2019 at 2:55 PM Olly Betts via cfarm-users<br>
> <<a href="mailto:cfarm-users@lists.tetaneutral.net" target="_blank">cfarm-users@lists.tetaneutral.net</a>> wrote:<br>
>> But even a list on an https protected web page seems better than just<br>
>> having to trust on first use.<br>
><br>
> +1, trusted distribution channels.<br>
<br>
Just a technical mini-point: https is cracked. There are hundreds of<br>
"trusted" certificare issuers, including, for example, the Library of<br>
Budapest. To man-in-the-middle an https transaction, you only need to<br>
corrupt one of the "trusted" CIs, issue falsies. With hundreds to<br>
choose from it's a doddle, and the NSA has millions in budget for<br>
exactly that purpose!<br>
<br>
I was always worried about the "certificate issuer" thing. And it<br>
turns out I was right!<br></blockquote><div><br></div><div><a href="https://www.certificate-transparency.org/">https://www.certificate-transparency.org/</a></div></div></div>