<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 6 May 2019, 06:11 Martin Guy via cfarm-users, <<a href="mailto:cfarm-users@lists.tetaneutral.net">cfarm-users@lists.tetaneutral.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 05/05/2019, Jeffrey Walton via cfarm-users<br>
<<a href="mailto:cfarm-users@lists.tetaneutral.net" target="_blank" rel="noreferrer">cfarm-users@lists.tetaneutral.net</a>> wrote:<br>
> On Sun, May 5, 2019 at 2:55 PM Olly Betts via cfarm-users<br>
> <<a href="mailto:cfarm-users@lists.tetaneutral.net" target="_blank" rel="noreferrer">cfarm-users@lists.tetaneutral.net</a>> wrote:<br>
>> But even a list on an https protected web page seems better than just<br>
>> having to trust on first use.<br>
><br>
> +1, trusted distribution channels.<br>
<br>
Just a technical mini-point: https is cracked. There are hundreds of<br>
"trusted" certificare issuers, including, for example, the Library of<br>
Budapest. To man-in-the-middle an https transaction, you only need to<br>
corrupt one of the "trusted" CIs, issue falsies. With hundreds to<br>
choose from it's a doddle, and the NSA has millions in budget for<br>
exactly that purpose!<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">If you're worried about that, using shared servers that almost anybody can get a local account on is probably a bad idea anyway :-)</div><div dir="auto"><br></div><div dir="auto">Verifying you're connecting to the right host doesn't help much if bad actors have a login to the host.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I was always worried about the "certificate issuer" thing. And it<br>
turns out I was right!</blockquote></div></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> <br>
</blockquote></div></div></div>