<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Aug 30, 2019, 18:34 Bjørn Mork <<a href="mailto:bjorn@mork.no">bjorn@mork.no</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Sander Steffann <<a href="mailto:sander@steffann.nl" target="_blank" rel="noreferrer">sander@steffann.nl</a>> writes:<br>
<br>
> Yep. I wish the use of TLSA was more wide spread. It doesn't require<br>
> third parties to "certify" who is who.<br>
<br>
+1<br>
<br>
There is still too much money in the CA business.</blockquote></div></div><div dir="auto"><br></div><div dir="auto">I would argue not but given that ripe itself is still paying digicert that arguement would be muted</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> Which is the reason<br>
why no major browser does TLSA validation.</blockquote></div></div><div dir="auto"><br></div><div dir="auto"><b style="max-height:999999px;color:rgb(60,64,67);font-family:roboto,helveticaneue,arial,sans-serif;font-size:14px;background-color:rgb(255,255,255)"><Citation needed></b><br></div><div dir="auto"><br></div><div dir="auto"></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">  And why "best practices"<br>
allow, or even recommend, inferior solutions like CAA, HPKP and other<br>
bad ideas instead of DANE.  </blockquote></div></div><div dir="auto"><br></div><div dir="auto">How on earth is having a CAA record which pin points who is allowed to issue certificates on your behalf an inferiour solution. A RR that you use with DANE btw o_O</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">You gotta look at the source of those<br>
recommendations. They are most likely "best" for someones wallet.  Not<br>
necessarily for security.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Still no one has answered why ripe is using self signed certs for anchor when they can use let's encrypt for free...</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
It's amazing that they still try to make those pigs fly.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Who are they? The evil certificate cabal that is out to destroy the world? Do I need to start wearing my tin foil hat when I go out riding and storm area 51 while i'm at it ;)</div><div dir="auto"><br></div><div dir="auto">In anycase to stay on topic.</div><div dir="auto"><br></div><div dir="auto">If the person or team that is responsible for the certificates on anchors can answer why they choose to use self signed certs, and why the ripe community is still paying for digicert when there is equally good, free signed alternative in an open community available,that would be good.</div><div dir="auto"><br></div><div dir="auto">If the answer is "we have not gotten around to it yet, but are planning to switch to let's encrypt for our self signed and paid certificates" *wink*wink**nudge*nudge* that would be even better.</div><div dir="auto"><br></div><div dir="auto">Thanks </div><div dir="auto">            JBG</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>