<div><span style="color: rgba(0, 0, 0, 0.87);">@Stefan, are you aware that in your scheme involving sac001.github.io,</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">whoever convinces GitHub to give them control over that subdomain, can</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">silently replace those public keys and start a man-in-the-middle attack?</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">You could not even rely on the TLS layer, because GitHub probably will</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">not revoke their wildcard certificate just for you. Hijacking a GitHub</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">Pages user name seems more likely than taking over a well secured domain</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">hosting account.</span></div><div><br></div><div><span style="color: rgba(0, 0, 0, 0.87);">I encountered only one MITM attack a couple of years ago so far, from an</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">SKS user. He was a retired police officer from Austria, who contacted me.</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">But what you say I was thinking about as well. My proposal was to include</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">in the policy file fingerprint(s) of key(s) and generate an .ots file, from</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">opentimestamps.org, from the policy file and put that .ots file somewhere.</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">In the old days it was common, prior starting encrypted comms to compare</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">fingerprints over other channels.</span></div><div><br></div><div><span style="color: rgba(0, 0, 0, 0.87);">And regarding secure domains, would you consider VPS servers secure</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">too for WKD?</span></div><div><br></div><div><span style="color: rgba(0, 0, 0, 0.87);">I must say good night now.</span></div><div><span style="color: rgba(0, 0, 0, 0.87);"><span class="ql-cursor"></span></span></div><div><span style="color: rgba(0, 0, 0, 0.87);">BTW. I did not received yet your reply for my two other accounts, hence the</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">late reply.</span></div><div><br></div><div><span style="color: rgba(0, 0, 0, 0.87);">Best regards</span></div><div><span style="color: rgba(0, 0, 0, 0.87);">Stefan</span></div><div><br></div><div><br></div>