<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

  <title></title>

</head>

<body bgcolor="#ffffff" text="#000000">

Recordon, David wrote:

<blockquote

 cite="mid7E7CA24460925C44AEB4F202BA7E45F302B54F@MOU1WNEXMB14.vcorp.ad.vrsn.com"

 type="cite">

  <title>RE: Re: SSL, DNSSEC and protected data enroute? (was Re: off

topic -how many people use OpenID ?)</title>

<!-- Converted from text/plain format -->

  <p><font size="2">I honestly didn't believe this over a year ago when

I first met the VeriSign guys, but I just want to make it clear that

VeriSign is not involved in OpenID with the goal of selling SSL

certificates.<br>

  <br>

  </font></p>

</blockquote>

Good.&nbsp; If anything the idea of such a project would be to improve

diversity, not create a monopoly. And knowing Eddy the way I do, I know

he isn't out to make money on it either (obviously not, as he wouldn't

be giving away certs if he was).<br>

<blockquote

 cite="mid7E7CA24460925C44AEB4F202BA7E45F302B54F@MOU1WNEXMB14.vcorp.ad.vrsn.com"

 type="cite">

  <p><font size="2">From a security perspective, self-signed certs can

do a lot of what is needed for what OpenID is doing.&nbsp; At the same time,

there really is value, even for OpenID,&nbsp; in a cert that chains up to a

trusted CA.</font></p>

</blockquote>

<div class="moz-signature">

<div style="font-size: small;"><font size="2">&lt;rant&gt;<br>

Self-Signed certs are a plague (just like VB), and should never be

allowed.<br>

&lt;/rant&gt;<br>

<br>

However... I see more use for CAs with OpenID, than simply encrypting

data.&nbsp; <br>

<br>

<a class="moz-txt-link-freetext" href="http://startssl.wordpress.com/2006/10/06/sxipping-in-user-centric-identity-and-its-relationship-to-a-ca/">http://startssl.wordpress.com/2006/10/06/sxipping-in-user-centric-identity-and-its-relationship-to-a-ca/</a><br>

<br>

all that aside, honestly, I am concerned that starting insecure and

trying to add security is a BAD way to go about things.&nbsp; Reminds me of

poorly done firewalls, open everything and closed problem ports, yeck.<br>

<br>

<br>

</font><!-- --> </div>

</div>

</body>

</html>