<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jun 3, 2013 at 1:04 PM, Barry Warsaw <span dir="ltr"><<a href="mailto:barry@python.org" target="_blank">barry@python.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Jun 03, 2013, at 02:21 PM, Donald Stufft wrote:<br>
<br>
>The other additional comment I'd like to throw in here is that if we don't<br>
>bundle SSL certs I think we should still verify by default (which means HTTPS<br>
>urls will throw an error by default if we can't locate a certificate store)<br>
>because I think the risk to people unknowingly thinking that their HTTPS urls<br>
>are protected are significant enough that this "error" shouldn't be silent by<br>
>default.<br>
<br>
</div>+1, especially if we ensure that the APIs are available to not verify, as is<br>
currently the case with urlopen().  I don't think people will want to do that<br>
in production, but it will be useful for testing (e.g. guess how I found<br>
issues 17977 :).<br></blockquote><div><br></div><div>+1 from me as well. Whether we bundle or simply provide a command to download the certs I think making this default is the bare-minimum, especially if setting nothing more than cadefault=True is all that is needed to get this behaviour since that's backwards-compatible to Python 3.3. </div>

</div></div></div>