No, I hear you. I'm all about getting https everywhere (hence this mailing list :P)<br><br>As for the CDN:<br><br>We're using (as you could figure out if you dig deep enough) Amazon's Cloudfront. I can definitely point the urls to https. The problem is that we're using <a href="http://cdn1.rentjungle.com">cdn1.rentjungle.com</a>, <a href="http://cdn2.rentjungle.com">cdn2.rentjungle.com</a>, etc. But, the certificate that's sent back is for .<a href="http://cloudfront.com">cloudfront.com</a>, so it doesn't match. As far as I know if I changed the urls to point to *whatever the random subdomain is*.<a href="http://cloudfront.com">cloudfront.com</a>, it should work just fine (in theory...), but then we'd have an extra DNS lookup, and links to an external domain, and I think we'd prefer to not. <br>

<br>That's about it really. Though I'm also not sure about the ability of some of our other external scripts (quantcast, etc) to use https, but that's neither here nor there.<br><br>If there's anyway to work with this to get it setup, that would be great. <a href="https://www.rentjungle.com/">https://www.rentjungle.com/</a> works just fine other than calling improperly secured files.<br>

<br>~ Daniel<br><br><br><div class="gmail_quote">On Wed, Dec 1, 2010 at 1:33 PM, Chris Palmer <span dir="ltr"><<a href="mailto:chris@eff.org">chris@eff.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div class="im">On Dec 1, 2010, at 4:18 AM, Daniel Lanigan wrote:<br>
<br>
> While I do agree in principal, it's just not going to happen yet. I'm working on getting https going for my company's site, <a href="http://rentjungle.com" target="_blank">rentjungle.com</a>, but I'm having issues with getting the CDN working correctly (I'm not sure it's possible with our current setup).<br>


<br>
</div>For my own understanding, can you explain more about your CDN problems? People often raise this concern to me, and I want to know more about the practical difficulties they face. Some CDNs, like Amazon, do offer HTTPS service, so in theory it should be plug and play. For some operators, it is.<br>


<br>
Unfortunately, Amazon charges more for HTTPS service. (I am looking into finding out why --- I suspect it's mostly a form of price discrimination and only lightly tied to actual operating costs.)<br>
<div class="im"><br>
> However, the real issue lies with smaller sites, especially personal websites running on shared servers. Dreamhost, for instance, requires you to have a unique IP address (and of course, the certificate), which obviously costs more.<br>


<br>
</div>Certainly. To address that problem, we have Server Name Indication:<br>
<br>
<a href="https://secure.wikimedia.org/wikipedia/en/wiki/Server_Name_Indication" target="_blank">https://secure.wikimedia.org/wikipedia/en/wiki/Server_Name_Indication</a><br>
<br>
It's not 100% supported yet, but at least it's there and growing. There are many hurdles before we can live the "there is only one mode, and it is secure" dream. My purpose with this and my previous email is to goad everyone into getting their jumping shoes on so we can start leaping over those hurdles. :)<br>


<div><div></div><div class="h5"><br>
<br>
--<br>
Chris Palmer<br>
Technology Director, Electronic Frontier Foundation<br>
<br>
</div></div></blockquote></div><br>