<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 3, 2014 at 3:48 PM, Stephen J. Turnbull <span dir="ltr"><<a href="mailto:stephen@xemacs.org" target="_blank">stephen@xemacs.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Guido van Rossum writes:<br>
<br>
 > lot: five years ago (when I worked at Google!) it was common to find<br>
 > internal services that required SSL but had a misconfigured certificate,<br>
 > and the only way to access those services was to override the browser<br>
 > complaints. Today (working at Dropbox, a much smaller company!) I don't<br>
 > even remember the last time I had to deal with such a browser complaint --<br>
<br>
</span>I would tend to discount your recent experience, then.  Smaller (and<br>
possibly even more important in this fast-developing area, younger)<br>
organizations are a lot more nimble about things like this.<br></blockquote><div><br></div><div>As a defensive data point: I don't remember a single instance of this happening for Google internal services, at least since I arrived in 2007. I'm not doubting that Guido remembers some thing(s) but in general people here at Google would not stand for that, then or now. I would not call it common, especially five years ago.</div><div><br></div><div>Common things I _have_ encountered over the years everywhere I've been both internal and external: services that listen on the https port 443 but don't have a valid cert as they are intended only for http port 80 access. Those are becoming somewhat less common, the only thing I regularly see that on anymore is random home router web config UIs as issuing a signed server certificate for security hole ridden commodity embedded box is... a challenge.</div><div><br></div><div>(I'm not commenting on the PEP plans as it seems the right things are happening for now)</div><div><br></div><div>-gps @ Google</div></div></div></div>