<div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">The problem is that we are not considering one aspect of the internet we have<br>
seen over the years. The internet has an uncanny ability to sort out trust<br>
issues on it own. Users learn which RP&#39;s to trust. Rp&#39;s learn which OP&#39;s to<br>
trust. Maybe we should factor this into the thinking and move on instead of<br>
getting bogged down by trust issues.</blockquote><div><br></div><div>Wow.  Coming from someone who&#39;s been complaining that OpenID doesn&#39;t provide a way for RP&#39;s to skip email verification because they can&#39;t trust OPs, I&#39;m amazed to hear you suggest we skip over worrying about solving the trust problem.  How do you think the Internet &quot;sort out trust issues on its own?&quot;  SSL cert verification didn&#39;t just happen.  Trust layers have to be conceived, standardized, and implemented to be very useful.  Yes, an RP today can decide to trust an OP &quot;on its own&quot;, but there are many other scenarios we haven&#39;t discussed recently that can only be enabled if infrastructure-assisted trust relationships is created.</div>

</div>