<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Verdana
}
</style>
</head>
<body class='hmmessage'>I recently had this issue and decided to drop http and use https exclusively.<br><br>Inconvenience for some but solves a lot of potential pain. In addition I allow 'linking' of other OpenID's so you can use others if you wish. On my site it is now all SSL.<br><br>BUT I'm not AOL and appreciate your pain given the pain I went through.<br><br>steven<br>http://livz.org<br><br>> Date&#58; Thu, 17 Sep 2009 11&#58;52&#58;19 -0400<br>> From&#58; gffletch&#64;aol.com<br>> To&#58; peterw&#64;tux.org<br>> CC&#58; openid-general&#64;lists.openid.net<br>> Subject&#58; Re&#58; &#91;OpenID&#93; https discovery &#38; login for AOL at long last&#63;<br>> <br>> Hi Peter,<br>> <br>> A couple of things&#58;&#41; We are working on supporting https identifiers and <br>> from a directed-identity perspective, all pair-wise pseudonymous <br>> &#34;OpenIDs&#34; will be SSL. We are also working on resolving the SSL issue <br>> for openid.aol.com, so that you can use <br>> https&#58;&#47;&#47;openid.aol.com&#47;identifier as a valid OpenID. I can&#39;t promise any <br>> time lines &#40;normal big company stuff&#41; but this is a goal of our ongoing <br>> OpenID work.<br>> <br>> We do have a &#34;unique&#34; problem &#40;shared by a few other OPs&#41; in that we <br>> have active users using http based OpenIDs at Relying Parties across the <br>> web. So we can&#39;t move to SSL only OpenIDs without breaking those <br>> customer&#39;s experience. I suspect that if you force all OpenIDs to be <br>> SSL, then a user&#39;s interaction with your site will work just fine.<br>> <br>> I have heard a couple reasonable suggestions &#40;notably Breno from Google&#41; <br>> for helping to connect an https OpenID to an http one by leveraging the <br>> OpenID XRDS file retrievable over SSL. There are currently no <br>> &#34;standards&#34; around this, but I believe it is worth exploring. However, <br>> it would mean that RPs would need to do some extra work which is <br>> questionable.<br>> <br>> Again, I can&#39;t promise dates, but this is on our roadmap&#58;&#41;<br>> <br>> Thanks,<br>> George<br>> <br>> <br>> John Bradley wrote&#58;<br>> &#62; Expect positive news from AOL.<br>> &#62;<br>> &#62; They have been working very hard behind the scenes.<br>> &#62;<br>> &#62; They have openID 2.0 RP support enabled on some of there sites.<br>> &#62; They don&#39;t get proper credit for that.<br>> &#62;<br>> &#62; I can confirm that they are in testing for the GSA pilot as a openID <br>> &#62; 2.0 OP.<br>> &#62;<br>> &#62; John B.<br>> &#62; On 2009-09-16, at 5&#58;27 PM, Peter Watkins wrote&#58;<br>> &#62;<br>> &#62;&#62; Wired says that the US federal governmment will soon let people<br>> &#62;&#62; log in to government Web sites with OpenID identifiers from a select<br>> &#62;&#62; few RPs, including AOL<br>> &#62;&#62;   http&#58;&#47;&#47;www.wired.com&#47;epicenter&#47;2009&#47;09&#47;feds-embrace-openid&#47;<br>> &#62;&#62;<br>> &#62;&#62; The Wired article implies that AOL has https-only authentication <br>> &#62;&#62; enabled&#58;<br>> &#62;&#62;<br>> &#62;&#62; &#34;These companies have undergone a certification process designed by the<br>> &#62;&#62; Information Card Foundation, the OpenID Foundation and the federal<br>> &#62;&#62; government that guarantees certain privacy safeguards. For instance,<br>> &#62;&#62; the sites have to use SSL to handle logins&#34;<br>> &#62;&#62;<br>> &#62;&#62; Does AOL finally have https-secured OpenID authentication&#63; Perhaps with<br>> &#62;&#62; directed identity&#63; The only way I know to use directed identity with AOL<br>> &#62;&#62; is via http&#58;&#47;&#47;openid.aol.com&#47;. That server does have a certificate <br>> &#62;&#62; installed,<br>> &#62;&#62; but the cert is for api.screenname.aol.com, and <br>> &#62;&#62; https&#58;&#47;&#47;api.screenname.aol.com&#47;<br>> &#62;&#62; is not a valid URL for OpenID discovery.<br>> &#62;&#62;<br>> &#62;&#62; Does this .gov news release herald a rebirth of AOL as an OpenID RP&#63;<br>> &#62;&#62;<br>> &#62;&#62; Thanks,<br>> &#62;&#62;<br>> &#62;&#62; Peter<br>> &#62;&#62;<br>> &#62;&#62; _______________________________________________<br>> &#62;&#62; general mailing list<br>> &#62;&#62; general&#64;lists.openid.net<br>> &#62;&#62; http&#58;&#47;&#47;lists.openid.net&#47;mailman&#47;listinfo&#47;openid-general<br>> &#62;<br>> &#62; _______________________________________________<br>> &#62; general mailing list<br>> &#62; general&#64;lists.openid.net<br>> &#62; http&#58;&#47;&#47;lists.openid.net&#47;mailman&#47;listinfo&#47;openid-general<br>> &#62;<br>> <br>> -- <br>> Chief Architect<br>> Identity Services, AOL<br>> Blog&#58; http&#58;&#47;&#47;practicalid.blogspot.com<br>>                                   <br>> <br>> _______________________________________________<br>> general mailing list<br>> general&#64;lists.openid.net<br>> http&#58;&#47;&#47;lists.openid.net&#47;mailman&#47;listinfo&#47;openid-general<br><br /><hr />Ready for Fall shows? Use Bing to find helpful ratings and reviews on digital tv's. <a href='http://www.bing.com/shopping/search?q=digital+tv's&form=MSHNCB&publ=WLHMTAG&crea=TEXT_MSHNCB_Vertical_Shopping_DigitalTVs_1x1' target='_new'>Click here.</a></body>
</html>