<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span style="color:rgb(0,0,0)">On Mon, Aug 22, 2016 at 6:49 PM, Maxim Konovalov <<a href="mailto:maxim@nginx.com">maxim@nginx.com</a>> wrote:<br>On 8/22/16 7:41 PM, B.R. wrote:<br>> In 2016, stating that content served over HTTP is 'secure' blows my<br>> mind and kills your credibility.<br>><br>Who did that?  What's his name?</span><br></blockquote><br>​Someone named 'Maxim Konovalov'​. Sounds familiar?<br>See below:<br><br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">​​<span style="color:rgb(0,0,0)">On Mon, Aug 22, 2016 at 5:44 PM, Maxim Konovalov <<a href="mailto:maxim@nginx.com">maxim@nginx.com</a>> wrote:<br>On 8/22/16 6:40 PM, Richard Stanway wrote:<br>> 1. You could provide <a href="http://insecure.nginx.org">insecure.nginx.org</a> <<a href="http://insecure.nginx.org">http://insecure.nginx.org</a>><br>> mirror for such people, make <a href="http://nginx.org">nginx.org</a> <<a href="http://nginx.org">http://nginx.org</a>> secure by<br>> default.<br>><br>No, thanks.  It is secure by default and HTTPS by default doesn't<br>add any value.​</span><br></blockquote><br>---<br><br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span style="color:rgb(0,0,0)">​​​On Mon, Aug 22, 2016 at 7:30 PM, Maxim Konovalov <<a href="mailto:maxim@nginx.com">maxim@nginx.com</a>> wrote:<br>On 8/22/16 8:23 PM, Richard Stanway wrote:<br>> See <a href="https://nginx.org/en/linux_packages.html#stable">https://nginx.org/en/linux_packages.html#stable</a><br>><br>> PGP key links are hard coded to http URLs:<br>[...]<br>> Please download <a href="<a href="http://nginx.org/keys/nginx_signing.key">http://nginx.org/keys/nginx_signing.key</a>">this<br>> key</a><br>[...]<br>Yes, I see.  It should be fixed.  Thanks.</span><br></blockquote><br>Not from my side: I​ still see HTTP links on the following webpage: <a href="http://nginx.org/en/linux_packages.html">nginx.org/en/linux_packages.html</a>, both in the HTTP & HTTPS versions (2 'this key' links, 1 'nginx signing key').<br></div><div class="gmail_extra"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">​Also true for keys delivered on <a href="http://nginx.org/en/pgp_keys.html">http://nginx.org/en/pgp_keys.html</a>. There might ​be some other places, though.<br></div><div><div class="gmail_signature" data-smartmail="gmail_signature"><font size="1"><span style="color:rgb(102,102,102)">---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b></font><br></div></div></div></div>