<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 16, 2014 at 12:54 PM, Anne van Kesteren <span dir="ltr"><<a href="mailto:annevk@annevk.nl" target="_blank">annevk@annevk.nl</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Tue, Dec 16, 2014 at 9:34 PM, Chris Peterson <<a href="mailto:cpeterson@mozilla.com" target="_blank">cpeterson@mozilla.com</a>> wrote:<br>
> Hacker News commenters seem to be particularly interested in<br>
> trust-on-first-use (TOFU) for self-signed certificates. I could not find a<br>
> Firefox bug (open or closed) about TOFU. Does Mozilla's security team have a<br>
> position on TOFU?<br>
<br>
</span>TOFU seems like a terrible idea. Users already ignore certificate<br>
warnings way more than they should. TOFU would just make that worse to<br>
the point of virtually nobody being secure, ever.<br></blockquote><div><br></div><div>I tend to agree with Anne on this point. It's really not clear what you</div><div>would show a user that would constitute informed consent.</div><div><br></div><div>-Ekr</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
(It's also not what I meant. I meant more in the sense of alerting a<br>
user about TLS going away, or TLS-EV becoming TLS-DV. But given the<br>
other improvements we could make that seems somewhat low priority.)<br>
<span><font color="#888888"><br>
<br>
--<br>
<a href="https://annevankesteren.nl/" target="_blank">https://annevankesteren.nl/</a><br>
</font></span><div><div>_______________________________________________<br>
firefox-dev mailing list<br>
<a href="mailto:firefox-dev@mozilla.org" target="_blank">firefox-dev@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/firefox-dev" target="_blank">https://mail.mozilla.org/listinfo/firefox-dev</a><br>
</div></div></blockquote></div></div></div>