<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 13 September 2017 at 21:55, Perry E. Metzger <span dir="ltr"><<a href="mailto:perry@piermont.com" target="_blank">perry@piermont.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Wed, 13 Sep 2017 14:18:40 -0400 "Bayuk" <<a href="mailto:jennifer@bayuk.com">jennifer@bayuk.com</a>> wrote:<br>
> Has anyone on this list contributed to  <a href="https://letsencrypt.org/" rel="noreferrer" target="_blank">https://letsencrypt.org/</a> -<br>
> and/or otherwise have personal experience, caveats, recommendations<br>
> with respect to the current service or roadmap?<br>
<br>
</div></div>It works. I use it a lot for random sites where I don't care deeply<br>
about the security of the system.<br>
<br>
Note my security caveat isn't about the certificates being somehow<br>
less good than other certificates. It is that someone gaining<br>
temporary control of a server for your domain is in a good position to<br>
also get a cert for your domain signed. Of course, absent a system<br>
like Certificate Transparency, or cert pinning, that's the case<br>
anyway, so perhaps I'm being paranoid.<br></blockquote><div><br></div><div>You are exposed to that risk regardless of whether you use Let's Encrypt or not, so not quite sure what point you're making?</div><div><br></div></div></div></div>