
<div dir="ltr">TOFU feels like a giant footgun for the vast majority of users.<div><br></div><div><a href="https://addons.mozilla.org/en-US/firefox/addon/skip-cert-error/">https://addons.mozilla.org/en-US/firefox/addon/skip-cert-error/</a> is what I'd point those commenters to if that's a use-case they care about.  (This replaces "MITM Me", which was a much better name.)<br><div><br></div><div>-- Mike</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 16, 2014 at 3:34 PM, Chris Peterson <span dir="ltr"><<a href="mailto:cpeterson@mozilla.com" target="_blank">cpeterson@mozilla.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>

On 12/16/14 12:21 PM, Anne van Kesteren wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On Tue, Dec 16, 2014 at 7:57 PM, Chris Peterson<<a href="mailto:cpeterson@mozilla.com" target="_blank">cpeterson@mozilla.com</a><u></u>>  wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

>That is a good question: why does the user care about (passive) mixed<br>

>content warnings? Is there any user risk if the Firefox address bar displays<br>

>mixed content sites with the plain HTTP icon (while still using HTTPS<br>

>connections underneath)?<br>

</blockquote>

For first-time connections it might be okay. But if it is a repeat<br>

visit the user might wish to know about the downgrade as that might<br>

affect the user's credentials.<br>

<br>

(Which is another area we could improve. Informing the user of changes<br>

to the setup of a site on repeat visits.)<br>

</blockquote>

<br></span>

Hacker News commenters seem to be particularly interested in trust-on-first-use (TOFU) for self-signed certificates. I could not find a Firefox bug (open or closed) about TOFU. Does Mozilla's security team have a position on TOFU?<div class="HOEnZb"><div class="h5"><br>

______________________________<u></u>_________________<br>

firefox-dev mailing list<br>

<a href="mailto:firefox-dev@mozilla.org" target="_blank">firefox-dev@mozilla.org</a><br>

<a href="https://mail.mozilla.org/listinfo/firefox-dev" target="_blank">https://mail.mozilla.org/<u></u>listinfo/firefox-dev</a><br>

</div></div></blockquote></div></div>