
<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Aug 31, 2014 at 1:18 PM, Tony Arcieri <span dir="ltr"><<a href="mailto:bascule@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=bascule@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">bascule@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">


<div class="">In this model, we have a mode for unauthenticated encryption where an unverified cert is OK. It probably shouldn't reflect anything to the user and give the same "white" bar as normal plaintext HTTP. But it does add resilience against passive, blanket surveillance.<br>


</div>

<div><br></div><div>https certificate verification UX "research" (since the warnings given to users seem to constantly be in flux) can continue as-is and unabated by the addition of STARTTLS for HTTP. It should be completely transparent (except to the passive surveillers)</div>


</div></div></div></blockquote><div><br></div><div>There have been many, many comments about how plaintext HTTP is actually better than STARTTLS. I hope, those of you who made these comments, really pause and consider how they reflect on you.</div>


<div><br></div><div>Comments like this:</div><div><br></div><div><a href="https://security.stackexchange.com/questions/54648/does-http-support-encryption-without-https-like-starttls">https://security.stackexchange.com/questions/54648/does-http-support-encryption-without-https-like-starttls</a><br>


</div><div><br></div><div>"<span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Arial,sans-serif;font-size:14px;line-height:18.2000007629395px">Generally speaking, nobody uses STARTTLS for HTTP, mostly because it is </span><em style="margin:0px;padding:0px;border:0px;font-size:14px;vertical-align:baseline;color:rgb(51,51,51);font-family:'Helvetica Neue',Arial,sans-serif;line-height:18.2000007629395px">less secure</em><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Arial,sans-serif;font-size:14px;line-height:18.2000007629395px">."</span></div>


<div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Arial,sans-serif;font-size:14px;line-height:18.2000007629395px"><br></span></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Arial,sans-serif;font-size:14px;line-height:18.2000007629395px">This comment was made by Tom Leek:</span></div>


<div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Arial,sans-serif;font-size:14px;line-height:18.2000007629395px"><br></span></div><div><font color="#333333" face="Helvetica Neue, Arial, sans-serif"><span style="font-size:14px;line-height:18.2000007629395px"><a href="https://security.stackexchange.com/users/5411/tom-leek">https://security.stackexchange.com/users/5411/tom-leek</a></span></font><br>


</div><div><font color="#333333" face="Helvetica Neue, Arial, sans-serif"><span style="font-size:14px;line-height:18.2000007629395px"><br></span></font></div><div><font color="#333333" face="Helvetica Neue, Arial, sans-serif"><span style="font-size:14px;line-height:18.2000007629395px">I don't think Tom Leek understands that, if STARTTLS is enabled for HTTP users in a purely transparent manner, and doesn't affect the perceived UX, then his complaints are completely irrelevant, and there are positive steps in the direction of privacy.</span></font></div>


<div><br></div></div>-- <br>Tony Arcieri<br>

</div></div>