
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 12 (filtered medium)">


<style>


<!--


 /* Font Definitions */


 @font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Consolas;


        panose-1:2 11 6 9 2 2 4 3 2 4;}


 /* Style Definitions */


 p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri","sans-serif";


        color:black;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


pre


        {mso-style-priority:99;


        mso-style-link:"HTML Preformatted Char";


        margin:0cm;


        margin-bottom:.0001pt;


        font-size:10.0pt;


        font-family:"Courier New";


        color:black;}


span.EmailStyle17


        {mso-style-type:personal;


        font-family:"Calibri","sans-serif";


        color:windowtext;}


span.EmailStyle18


        {mso-style-type:personal;


        font-family:"Arial","sans-serif";


        color:navy;}


span.EmailStyle19


        {mso-style-type:personal;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


span.HTMLPreformattedChar


        {mso-style-name:"HTML Preformatted Char";


        mso-style-priority:99;


        mso-style-link:"HTML Preformatted";


        font-family:Consolas;


        color:black;}


span.EmailStyle22


        {mso-style-type:personal-reply;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page Section1


        {size:612.0pt 792.0pt;


        margin:72.0pt 72.0pt 72.0pt 72.0pt;}


div.Section1


        {page:Section1;}


-->


</style><!--[if gte mso 9]><xml>


 <o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


 <o:shapelayout v:ext="edit">


  <o:idmap v:ext="edit" data="1" />


 </o:shapelayout></xml><![endif]-->


</head>


<body bgcolor="white" lang="EN-AU" link="blue" vlink="purple">


<div class="Section1">


<p class="MsoNormal"><span style="color:#1F497D">Eddy,<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">&gt; </span>Unfortunately I can not vote because the authentication of OpenID doesn't accept the StartSSL OP for some reason<span style="color:#1F497D"><o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">I couldn’t vote either as openid.net no longer accepted the OP I used previously. Presumably the change occurred when openid.net switch OpenID implementations — it now uses RPX.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">RPX looks pretty good, but I don’t think it works with OPs that expect the RP to use


<a href="http://openid.net/specs/openid-authentication-2_0.html#check_auth">Direct Verification</a>, ie an OP that does not establish associations.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">Does the StartSSL OP expect direct verification to be used?<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">I eventually did vote — using the OpenID delegation feature to point by OpenID URI to another OP (a very nice feature of OpenID).<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">Establishing an associations is optional in an OpenID 2.0 flow. It is RECOMMENDED that an RP form an association if possible.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D">I don’t think the OpenID 2.0 spec says an OP MUST support associations. The spec says if an RP “does not have an association stored, it MUST request that the OP verify the signature via Direct Verification”,


 but it also says “if a Relying Party is incapable of creating or storing associations, Section 11.4.2 (Verifying Directly with the OpenID Provider)&nbsp; provides an alternate verification mechanism”. Perhaps an RP might think it complies with OpenID 2.0 once it


 is capable of using associations, without supporting direct verification. [a point to clarify in OpenID v.next]<o:p></o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><span style="color:#1F497D"><o:p>&nbsp;</o:p></span></p>


<p class="MsoNormal"><b><span lang="FR" style="font-size:12.0pt;font-family:&quot;Arial&quot;,&quot;sans-serif&quot;;


color:#1F497D">James Manger<o:p></o:p></span></b></p>


</div>


</body>


</html>