<br><br><div class="gmail_quote">On 17 June 2012 09:48, Roger Hayter <span dir="ltr"><<a href="mailto:roger@hayter.org" target="_blank">roger@hayter.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Another naive question I am afraid:  If an organisation published a suitable key in the newspapers and the organisation itself avoided legal or illegal state penetration of its private information, would that enable individuals to set up secure two way communication with said organisation regardless of any MITM?<span class="HOEnZb"><font color="#888888"></font></span><br>
</blockquote></div><br>As I understand it, for secure web browsing (https) the answer is no that is not going to help at the moment.<br><br>The underlying Secure Socket Layer (SSL / TLS) software decides to trust the certificate it receives over the internet from Google, Facebook, etc because it is signed with a key it can trace (through a valid chain of signed keys) back to a certificate authority it knows about. Your PC has a certificate store with public root certificates from 10s or 100s of such authorities. SSL will trust the certificate if it is traceable back to *any* one of those authorities.<br>
<br>There is no interface to say "for *.<a href="http://google.com">google.com</a> trust only this certificate I received in from some trusted means".<br><br><br>For encrypted email then PGP's web of trust model gives you direct control of which enryption keys you trust, and which key to use for particular recipients.<br>
<br>Cheers,<br>Tony<br>