<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Chris Drake wrote:
<blockquote cite="mid64228664.20061023233815@pobox.com" type="cite">
  <pre wrap="">Hi Eddy,</pre>
</blockquote>
Hi Chris,<br>
<blockquote cite="mid64228664.20061023233815@pobox.com" type="cite">
  <pre wrap="">In other words: attacker can just as easily self-sign a bogus SSL
certificate as they can self-sign their bogus DNSSEC server replies.
  </pre>
</blockquote>
However if we rely on CA's, than we can verify the singer of the
certificate of the IDP and RP sites....This shouldn't be too hard to
implement, I think....and would give a reasonable protection at least...<br>
<br>
<div class="moz-signature">-- <br>
<div><font face="Arial" size="2">Regards</font></div>
<div><font face="Arial" size="2"> </font></div>
<div><font face="Arial" size="2">Signer:      Eddy Nigg, StartCom Ltd.</font></div>
<div><font face="Arial" size="2">Phone:       +1.213.341.0390</font></div>
</div>
</body>
</html>