<div dir="ltr">You forget that there are some 100,000 copies of Aquamacs sitting on people's computers.  You can't remotely update which certificates are trusted.<div><br></div><div>The simpler solution (going forward) is to change the update URL going forward to be something like <a href="http://update.aquamacs.org">update.aquamacs.org</a>, and make the update check via HTTP. </div><div><br></div><div>For now, I would first disable https on the server until you can figure out how to make HTTPS not mandatory for all portions of the site.  Then, if it can be done, you can exempt cgi-bin/currentversion.cgi from the redirect to HTTPS, probably via an entry in .htaccess.</div><div><br><div><br></div><div>David</div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Apr 24, 2020 at 3:37 PM John Wroclawski <<a href="mailto:jtw@csail.mit.edu">jtw@csail.mit.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="overflow-wrap: break-word;">Hi,<br><div><br><blockquote type="cite"><div>On Apr 24, 2020, at 3:15 PM, Robert Goldman <<a href="mailto:rpgoldman@sift.info" target="_blank">rpgoldman@sift.info</a>> wrote:</div><div><div><blockquote type="cite">David Reitter</blockquote><blockquote type="cite">  Suggest disabling HTTPS on the website for now.<br></blockquote><br>I'm not a big fan of using HTTP, especially not for getting software I trust.<br></div></div></blockquote><div><br></div>We had this discussion a few weeks ago, but. I fully understand your point, but in this case I wouldn’t worry about it much, because the software itself is signed. The whole point of that mechanism is that you don’t have to secure the channel because the s/w itself is crypto-validated.</div><div><br></div><div>That said,</div><div><br></div><div><blockquote type="cite"><div><div>Can't we add the Let's Encrypt CA to the set of CAs we will accept?<br></div></div></blockquote><div><br></div>I was wondering about this too. LE certs trace back to two separate rather well-known roots - see  <a href="https://letsencrypt.org/certificates/" target="_blank">https://letsencrypt.org/certificates/</a> for full details. If Aquamacs is maintaining it’s own root CA store (not great), then adding one of these should be simple enough. OTOH, what it should really be doing is using Apple’s built-in certificate management functions and root store. But if it was doing that, this would all be working, I would expect. So I assume it’s not..</div><div><br></div><div>John</div><div><br></div></div><br>
_____________________________________________________________<br>
MacOSX-Emacs mailing list<br>
<a href="mailto:MacOSX-Emacs@email.esm.psu.edu" target="_blank">MacOSX-Emacs@email.esm.psu.edu</a><br>
<a href="https://email.esm.psu.edu/mailman/listinfo/macosx-emacs" rel="noreferrer" target="_blank">https://email.esm.psu.edu/mailman/listinfo/macosx-emacs</a><br>
List Archives: <a href="http://dir.gmane.org/gmane.emacs.macintosh.osx" rel="noreferrer" target="_blank">http://dir.gmane.org/gmane.emacs.macintosh.osx</a><br>
</blockquote></div>