<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 18, 2019 at 7:04 PM Paul Vixie <<a href="mailto:paul@redbarn.org">paul@redbarn.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tuesday, 18 June 2019 20:48:16 UTC John Levine wrote:<br>
...<br>
> >>> Why not get some TLSA records going for that server too Bill, if you're<br>
> >>> using TLS?<br>
> <br>
> Now we get to ponder which is more broken, DNSSEC (and registrar<br>
> account compromises), or the world of CAs.<br>
<br>
in that case, there's no useful debate remaining. one trust anchor operated by <br>
a public charity with high transparency is better than 2000+ trust anchors <br>
operated mostly by government intelligence shell companies without <br>
transparency.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">Complete bullshit. The EFF study was a pile of poo. They knew they were peddling a falsehood but t=as with Al Gore invented the Internet, once a lie is spread it is impossible to unspread it.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">No, there are 50 commercial CAs. There have never been 2000 roots of trust, that was the result of the EFF not knowing how PKIX works and refusing to make a public correction after the error was pointed out. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Basically, the German educational CA created a separate sub-CA for every university they supported meaning that there were 600 sub CAs chained to their root. Rather than ask why that was the case, they published the report. And why not publish a complete lie when it supports the case you want to make?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Oh because this is a trust business and maybe telling lies was not the best way to start LetsEncrypt.</div><br></div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
i don't like trust anchors, or internet governance as practiced in the modern <br>
era, or one-egg one-basket designs. however, this time the alternative has <br>
proved itself to be amazingly worse than the worst-case scenario of a single <br>
trust anchor.<br>
<br>
we must kill off the world's dependency on X.509 CA cert repositories, a-s-a-<br>
p. we had a situation so terrifyingly awful that lets-encrypt was able to make <br>
it even worse, regardless of intentions. let's move on.<br>
<br>
-- <br>
Paul<br>
<br>
<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
dns-operations mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div></div>