<div dir="ltr">On Wed, Apr 24, 2013 at 7:14 PM, Shain Singh <span dir="ltr"><<a href="mailto:shain.singh@gmail.com" target="_blank">shain.singh@gmail.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">> The encryption stuff as noted in the article (surely it's wrong?) is both insane and impossible, for all practical purposes - not to mention highly undesirable.<br>

<br>
What if I was to buy a root CA, wait for it to be updated in all<br>
browsers, then hand you a certificate for *.<a href="http://facebook.com" target="_blank">facebook.com</a> on the fly?<br></blockquote><div><br></div><div style>I believe that's covered by the "insane" comment.</div>
<div style><br></div><div style>If you'd used *.<a href="http://google.com">google.com</a> as the sample domain, it would be impossible (due to Chrome/Firefox'es built in HSTS  cache, including CA).</div><div style>
<br></div><div style>  Scott</div><div style><br></div></div></div></div>