<div dir="ltr">In my understanding "invalid" includes "signed by untrusted authority". I'm no security expert, and for me browser reporting an invalid certificate is a red flag - I'll have a hard time figuring out that <a href="http://cacert.org">cacert.org</a> are in fact the "good guys". I believe, this can also turn away some contributors, who will think the page is abandoned/compromised, without looking into much details.<div><br></div><div>As for let's encrypt - they reported several days ago that they are trusted by major browsers - <a href="https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html">https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html</a>. Check <a href="https://helloworld.letsencrypt.org/">https://helloworld.letsencrypt.org/</a> - it's trusted.</div><div><br></div><div>BR,</div><div>Artur.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Oct 25, 2015 at 2:35 PM, Frank Lanitz <span dir="ltr"><<a href="mailto:frank@frank.uvena.de" target="_blank">frank@frank.uvena.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Am 25.10.2015 um 13:17 schrieb Arthur Peka:<br>
><br>
> some may have already said it, but certificate<br>
> on <a href="https://lists.geany.org" rel="noreferrer" target="_blank">https://lists.geany.org</a> is invalid. I guess the one from Let's<br>
> encrypt could be used (which now seems to be trusted)?<br>
<br>
</span>They did a huge step forward, but AFAIK not yet done. By now we are<br>
using CAcert and the certificate is not invalid only because your<br>
browser doesn't know the CAcert root certificates¹. It's just untrusted.<br>
<br>
However, the plan is, once the are real online we think about migration.<br>
<br>
Cheers,<br>
Frank<br>
<br>
¹ <a href="http://www.cacert.org/index.php?id=3" rel="noreferrer" target="_blank">http://www.cacert.org/index.php?id=3</a><br>
<br>
P.S. Sorry, if this might sounded root. Not sure. Wasn't intended. SSL<br>
is not just the green lock symbol, it's more. Even an selfsigned<br>
certifcate can, well in most cases it is if you check fingerprints, be<br>
more trustworthy than a signed one.<br>
<br>
<br>_______________________________________________<br>
Devel mailing list<br>
<a href="mailto:Devel@lists.geany.org">Devel@lists.geany.org</a><br>
<a href="https://lists.geany.org/cgi-bin/mailman/listinfo/devel" rel="noreferrer" target="_blank">https://lists.geany.org/cgi-bin/mailman/listinfo/devel</a><br>
<br></blockquote></div><br></div>