<br><div class="gmail_quote">On Wed, Jan 28, 2009 at 2:53 PM, Jacob Appelbaum <span dir="ltr"><<a href="mailto:jacob@appelbaum.net">jacob@appelbaum.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi,<br>
<br>
If it isn't clear, I think that (SSL/X.509) commercial certificate<br>
signing is a total racket. It's dominated by a bunch of cartels (such as<br>
Verisign) who pay big bucks to get their root into browsers and into<br>
shipping operating systems. The certification processes are flawed and<br>
they speak nothing of trust in a meaningful way. </blockquote><div><br>Perhaps this is really bikeshedding but...  That reminds me of the bond insurance crisis that happened last fall,
where organizations (often cities, churches, schools, etc)  paid
millions to improve the ratings of bonds they issued only to have the
companies that back up them (like AIG) catastrophically downgrading them by
having their own credibility degraded.  Bonds issued wound up being close to worthless.  A lot of public works projects got the plug pulled while taxpayers wound up having to foot the bill because of all these expensive, useless policies.<br>
<br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">I think that if we're going to keep playing "use-certs-signed-by-a-ca"<br>

we should use CA Cert:<br>
<a href="http://www.cacert.org/" target="_blank">http://www.cacert.org/</a><br>
</blockquote><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
Unless we want to give the cartels money to tell us that we're safe when<br>
there's next to nothing backing it up, I suggest we go with CA Cert.</blockquote><div><br>Sounds wise to me.<br><br>Christie<br></div></div>-- <br>I've had a lot of regrets in my life, but most of them have to do with things I never tried.<br>