<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jan 3, 2015 at 11:46 PM, Andreas Junius <span dir="ltr"><<a href="mailto:andreas.junius@gmail.com" target="_blank">andreas.junius@gmail.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
On 04/01/15 17:26, Randy Bush wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Do you actually verify key fingerprints, and if so, how?<br>
</blockquote>
<br>
gpg signed attestations, e.g. see up front of my site, <a href="https://psg.com" target="_blank">https://psg.com</a><br>
</blockquote>
<br></span>
Not sure if that helps at all - the CA is an invalid certificate and would be expired even if the validity dates were correct. That doesn't indicate proper cert handling...<div class="HOEnZb"><div class="h5"></div></div></blockquote></div><br>
</div><div class="gmail_extra">And if it was SSH, how would we ever truly verify that public key.</div><div class="gmail_extra"><br></div></div>