I don't understand much about CAs, but I know what paypal does: you paste your public key (while being logged in via ssl, of course) and THEY sign it for you.<br>They also show you a "key id" string (don't remember exact name) that you should include inside the encrypted request (probably against a case where the key gets compromised, but not the app's config). The user/password auth pop3 has seems equivalent to that (at least to me).<br>
<br>PR-wise (e.g. if there's a petition), maybe it's easier to explain this to laypeople (like me) along the lines of:<br>"we want google to do what paypal does, but google says: privacy-via-bureaucracy or no privacy at all"<br>
and only in the fine-print dive into the way CAs work.<br><br>Just a thought.<br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Dec 18, 2012 at 8:18 AM, James A. Donald <span dir="ltr"><<a href="mailto:jamesd@echeque.com" target="_blank">jamesd@echeque.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000"><div class="im">
    <div>On 2012-12-18 1:25 AM, CodesInChaos
      wrote:<br>
    </div>
    <blockquote type="cite">
      
      One could require the user to specify/confirm a certificate
      fingerprint on gmail in such a case. That way you're MitM proof,
      even with a self signed certificate.<br>
      <br>
    </blockquote>
    <br></div>
    Who is the real you?  Well, obviously the you that knows the gmail
    password.<br>
    <br>
    Therefore, password should no be communicated in the clear.  Gmail
    should not care whether you have a validly signed certificate, but
    you should care whether gmail has a validly signed certificate, and
    that it has the usual signature.<br>
  </div>

<br>_______________________________________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
<br></blockquote></div><br></div>