<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Mar 11, 2014 at 10:33 AM, Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net" target="_blank">dkg@fifthhorseman.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><span style="color:rgb(34,34,34)">This use case still a real security issue, and i haven't heard a</span><br>

</div></div>
plausible answer yet about how SAS can be used to verify a web server's<br>
key without introducing a number of troubling vulnerabilities.</blockquote><div><br></div><div>To flip the question around: are key fingerprints / TOFU a good way to verify a server's identity? I personally don't think so</div>

<div> </div></div>-- <br>Tony Arcieri<br>
</div></div>