<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">I'm very pro-HTTPS for as many places as possible, switched to use it on my own site, and </span><a href="https://konklone.com/post/switch-to-https-now-for-free" style="font-family:arial,sans-serif;font-size:13px" target="_blank">documented how to do it</a><span style="font-family:arial,sans-serif;font-size:13px"> in detail.</span><div style="font-family:arial,sans-serif;font-size:13px">


<br></div><div style="font-family:arial,sans-serif;font-size:13px">But I'm also very pro-"it should be easy to publish things on the Internet", and key management *is* a pain in the ass. Requiring it Internet-wide would raise the barrier for people new to web publishing to get started, and/or make more people just use a *.<a href="http://wordpress.com/" target="_blank">wordpress.com</a> or *.<a href="http://whatever.com/" target="_blank">whatever.com</a> domain, rather than bother getting their own.</div>


<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">Instead, we should establish very clear norms about HTTPS for services and web applications of all kinds. If you have the ability to add HTTPS support, you should, and the mandate is especially clear for hosting services.</div>


<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">For example, one glaring gap for me is Github Pages. It's impossible to use HTTPS if you host something via Github Pages, whether or not you use your own domain name (unless you do something expensive like put CloudFront in front of it).</div>


<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">Caching with HTTPS is a problem. One source of reluctance for major platforms to support HTTPS is because CDNs like Akamai raise their prices drastically if you want HTTPS. That's a major market force that guides the decision companies make, and it's one we should commit ourselves to changing.</div>


</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Nov 4, 2013 at 12:28 PM, Peter Saint-Andre <span dir="ltr"><<a href="mailto:stpeter@stpeter.im" target="_blank">stpeter@stpeter.im</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<div class="im"><br>
On 11/4/13 7:50 AM, Greg wrote:<br>
> Could someone please forward this message to the Elders of the<br>
</div>> Internet??<br>
<div class="im">><br>
> It's time to make encryption mandatory in all communication<br>
> protocols.<br>
<br>
</div>Some of us are working on that for some protocols:<br>
<br>
<a href="https://github.com/stpeter/manifesto" target="_blank">https://github.com/stpeter/manifesto</a><br>
<br>
Peter<br>
<br>
- --<br>
Peter Saint-Andre<br>
<a href="https://stpeter.im/" target="_blank">https://stpeter.im/</a><br>
<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG/MacGPG2 v2.0.19 (Darwin)<br>
Comment: GPGTools - <a href="http://gpgtools.org" target="_blank">http://gpgtools.org</a><br>
Comment: Using GnuPG with Thunderbird - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
<br>
iQIcBAEBAgAGBQJSd9lbAAoJEOoGpJErxa2pzhIP/iAdZkNEdgWRrt9N/7Tc06IK<br>
3U9zDSzve6BglycwKsCmB8e9+dOuXjw383PiiydbiMDkmUOj7uvkiI069TImfk4E<br>
Q49WKlBX3rNeqSuk3OAE4CgsnQLxxKns52q4TqfunsDgQS4EJL0xb6VH/O62JxFO<br>
vjX6N0l6XYS/VnjJJi4jsqAsFjwsx0sVHP30bpvNNqTr511RRSdIa3udUE3CY8mP<br>
Hf/8V6x6kLQENXgW4lYNyLMG3r4Q3/BkHkurLuw33jdCxNu6Wx4RB5xFPCWKFQyS<br>
XgrYUBDRfVFHB0OqiukFE0uBqVvuTB9UH47zZiFuN3GM55UJ4TE8gks4W2v7Ku/n<br>
vby+u/vToqZGGLJYwd2AzyfUag629KhnCbMJ1arp+fd5hMx5O3mbvzB7sJu92Suj<br>
ZYB3LIkWUc/F5EJXCZN73HhxiyFbkWi5kVfPLkd5UybpI9CNd9Kglh00TBryZ5Ws<br>
dGF/cOuwtWVOoNn5VeJDFm9MRbDnICwkpguuIdWCZGC8e30A7e4cuR3OFrNVkkfg<br>
2ZmFaiVPN93aKeWiXclCkdTwxCXHoRByfSO89Z6QHDhQqbSQ6WMKaidPPbphGyjl<br>
yyPUG3EsleZQBWdSic+5dgV4TIu2EMzY9IAYGuuNZruFRvr/ZUDnNosIbdg3UnXH<br>
yNFG+7eTIcVkax5Riqgz<br>
=S+19<br>
-----END PGP SIGNATURE-----<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" target="_blank">http://www.metzdowd.com/mailman/listinfo/cryptography</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><div><a href="http://konklone.com" target="_blank">konklone.com</a> | <a href="https://twitter.com/konklone" target="_blank">@konklone</a><br>

</div></div>
</div>