<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Aug 30, 2019, 20:30 Randy Bush <<a href="mailto:randy@psg.com" target="_blank" rel="noreferrer">randy@psg.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">> There is still too much money in the CA business.<br>
<br>
well, though on the surface i agree, i do not take it as a motivation to<br>
add one more chunk of sysadmin.<br>
<br>
> Which is the reason why no major browser does TLSA validation.<br>
<br>
well. there is the extra protocol turn.  agl tried and backed off,<br>
seemingly because of that.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto"><span style="font-family:serif;font-size:18.6667px;text-align:justify;background-color:rgb(251,251,252)">The problem with the added extra lookup which added more latency, which increased the chances for packet loss, causing expensive timeouts and retransmitions had been somewhat worked on but </span><font face="serif"><span style="font-size:18.6667px">abandoned [1] and wont be revisited due to [2] being the browser community take on this afaik. </span></font></div><div dir="auto"><br></div><div dir="auto">Given that Let's encrypt own root which was supposed to be pushed out this July but got delayed til 2020 is widely trusted by browser, one can hardly claim that the browser community is run by some "cert cabal" </div><div dir="auto"><br></div><div dir="auto">If the "cert cabal" will try anything it will be to block acceptance and or usage of self and Let's encrypt signed certs with high profile cloud providers because that's where the money is and corporates are somewhat vendor locked in there, which makes them an easy pray for additional fees..</div><div dir="auto"><br></div><div dir="auto"><font face="serif"><span style="font-size:18.6667px">JBG</span></font></div><div dir="auto"><span style="text-align:justify;background-color:rgb(251,251,252)"><font face="serif"><span style="font-size:18.6667px"><br></span></font></span></div><div dir="auto"><span style="text-align:justify;background-color:rgb(251,251,252)"><font face="serif"><span style="font-size:18.6667px">1.</span></font></span></div><div dir="auto"><span style="text-align:justify;background-color:rgb(251,251,252)"><font face="serif"><span style="font-size:18.6667px"><a href="https://www.imperialviolet.org/2011/06/16/dnssecchrome.html" target="_blank" rel="noreferrer">https://www.imperialviolet.org/2011/06/16/dnssecchrome.html</a></span></font><br></span></div><div dir="auto"><span style="text-align:justify;background-color:rgb(251,251,252)"><font face="serif"><span style="font-size:18.6667px">2. </span></font></span><font face="serif"><span style="font-size:18.6667px"><a href="http://www.certificate-transparency.org/" target="_blank" rel="noreferrer">http://www.certificate-transparency.org</a></span></font></div></div>