<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Apr 26, 2013 at 2:28 AM, Seth David Schoen <span dir="ltr"><<a href="mailto:schoen@eff.org" target="_blank">schoen@eff.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Their cert has been revoked.  I applied your change but I set the ruleset<br>
to default_off.<br>
<span class=""></span></blockquote><div><br></div><div>Actually, I don't think it was revoked: I checked RapidSSL CRL, and there is no reference of revocation.<br><br></div><div>Their cert applies only to '<a href="http://thepiratebay.se">thepiratebay.se</a>' and '*.<a href="http://thepiratebay.se">thepiratebay.se</a>', and it's still valid, but it does not apply to the .is domains:<br>

<br>=============================================================<br>claudio@Chuck:~$ openssl x509 -text -noout -in <a href="http://thepiratebay.se">thepiratebay.se</a><br></div><div>Certificate:<br>    Data:<br>        Version: 3 (0x2)<br>

        Serial Number: 679856 (0xa5fb0)<br>    Signature Algorithm: sha1WithRSAEncryption<br></div><div>        Issuer: C=US, O=GeoTrust, Inc., CN=RapidSSL CA<br>        Validity<br>            Not Before: Feb  1 09:47:57 2013 GMT<br>

            <b>Not After : Mar  5 10:48:42 2015 GMT</b><br>        Subject: serialNumber=J-GVhJQ0WETxE/K-rE-cGY-SuA8zZ0Tn, OU=GT00316361, OU=See <a href="http://www.rapidssl.com/resources/cps">www.rapidssl.com/resources/cps</a> (c)13, OU=Domain Control Validated - RapidSSL(R), <b>CN=*.<a href="http://thepiratebay.se">thepiratebay.se</a></b><br>

<br></div><div>[snip]<br>X509v3 Subject Alternative Name: <br>                <b>DNS:*.<a href="http://thepiratebay.se">thepiratebay.se</a>, DNS:<a href="http://thepiratebay.se">thepiratebay.se</a></b><br>X509v3 CRL Distribution Points: <br>

<br>                Full Name:<br>                  URI:<a href="http://rapidssl-crl.geotrust.com/crls/rapidssl.crl">http://rapidssl-crl.geotrust.com/crls/rapidssl.crl</a><br><br>            X509v3 Subject Key Identifier: <br>

                8B:58:51:70:2E:57:60:BE:70:BE:46:C8:47:2E:D7:57:A2:40:1C:47<br><br></div><div>[etc]<br><br>=============================================================<br><br></div><div>And the serial numbers revoked in the CRL do not contain <b>'679856'</b> which is the SN of this cert (feel free to check, I'm attaching the DER CRL I downloaded - openssl crl -in rapidssl.crl -inform DER -text -noout)<br>

<br></div><div>So, wouldn't it be better to revert to the previous rule, while the domain is working?<br><br></div><div>I believe they'll upgrade their certificates as soon as possible, but I think that while the .se domains are working, a functioning HTTPS connection is better than preparing for the next domain change... (maybe, excluding the .is domain from the from rule may be a way to ensure that when the .se domains are taken offline people can still visit TPB)<br>

</div><div><br></div><div>Cheers,<br><br>Claudio<br></div></div></div></div>