<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">It is surprising, since I remember Ilya Grigorik made a talk about TLS during the first ever nginx conf in 2014:<br><a href="https://www.youtube.com/watch?v=iHxD-G0YjiU">https://www.youtube.com/watch?v=iHxD-G0YjiU</a><br><a href="https://istlsfastyet.com/">https://istlsfastyet.com/</a><br><br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">Thus, there is no reason for not going full-HTTPS in delivering Web pages.<br></div><div class="gmail_extra"><div><div class="gmail_signature" data-smartmail="gmail_signature"><font size="1"><span style="color:rgb(102,102,102)">---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b><span style="color:rgb(102,102,102)"></span></font></div></div>
<br><div class="gmail_quote">On Fri, Aug 19, 2016 at 9:21 PM, Richard Stanway <span dir="ltr"><<a href="mailto:r1ch+nginx@teamliquid.net" target="_blank">r1ch+nginx@teamliquid.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div>I noticed that the PGP key used for signing the Debian release packages recently expired. I went to download the new one and noticed that <a href="http://nginx.org" target="_blank">nginx.org</a> wasn't using HTTPS by default. Manually entering a https URL works as expected, although some pages have hard coded http links in them.</div><div><br></div><div>Is there a reason that the website isn't using HTTPS and STS / HPKP? It would help mitigate potential MITM attacks especially on precompiled binaries and PGP key downloads.</div><div><br></div></div>
<br>______________________________<wbr>_________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx</a><br></blockquote></div><br></div></div>