<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
</head>
<body bgcolor="#ffffff" text="#000000">
In light of the recent security issues, we have decided to <a
 href="http://blog.beuchelt.org/2008/08/11/Securing+OpenIDWork+Again.aspx">improve
the security</a> of our OpenID@Work service/experiment. <br>
<br>
In a nutshell, we would like to require all users to use <a class="moz-txt-link-freetext" href="https://">https://</a>
prefixed OpenID identifier, so that RPs normalize and discover over
HTTPS, instead of HTTP. The obvious issue is that -- to my knowledge --
<a class="moz-txt-link-freetext" href="https://openid.sun.com/user">https://openid.sun.com/user</a> != <a class="moz-txt-link-freetext" href="http://openid.sun.com/user">http://openid.sun.com/user</a>. At this
point I see an opportunity for the OpenID community to address some of
the recent vulnerabilities: if RPs started to recognize both <a class="moz-txt-link-freetext" href="https://">https://</a>
and <a class="moz-txt-link-freetext" href="http://">http://</a> prefixed identifiers as the same entity, or at least
allowed easy linking, users could migrate with a lot more ease. <br>
<br>
This would be less than a mandate for SSL, but make migration a lot
less painful... Your thoughts?<br>
<br>
Gerald Beuchelt<br>
Sun Microsystems, Inc. <br>
</body>
</html>