what happened

I'm confused as well.

The iphone app still works for me (fingers crossed) but I haven't found where to check the cert.


Browsers is a different story. IE accepts the page with no warning about mixed content (it's set to prompt but doesn't). Chrome loads just fine but does warn about mixed content on it's little SSL padlock icon. Firefox won't load the page correctly, also warning about mixed content, but will display correctly if I tell it to ignore the errors.

The actual site cert if valid (so says chrome & firefox)

The cert is partially valid.  The audit trail is missing..the android app doesn't work at all..  I'm curious why ssl in the first place?

This issue?

You're refering to this:

When visiting Gmail in Chrome, if I click on the lock icon in the address bar and go to the connection tab, I received a message 'The identity of this website has been verified by Google Internet Authority G2 but does not have public audit records.'

That one?

that's one...the switch to ssl has broken functionality..ssl isn't really needed for this site IMO..[:)]

I'm guessing you use Chrome? That whole audit thing is a Google initiative started in 2013 in the wake of DigiNotar. So far only Chrome and Google websites support the audit trail, according to the initiative's website at least. Firefox doesn't and I doubt IE will anytime soon.

yes i use chrome but i sitll don't see the need for ssl..i wonder when they are going to get the app fixed.

Maybe step 2+, as they relate to the intermediate certificate(s) on the server,here would help.

William, what OS (and OS version) are you running the app under?  Some versions of Android may allow you to add the attached certificates - they seemed to quiet the browser in my old Android device (2.3.5) regarding the *.astaro.org certificate (but now it complains about *.google-analytics.com).

Hiccups here aside, I think SSL [HTTPS actually, see comment #10]  is a good thing and should be encouraged for consideration everywhere as a "Why not?" instead of "Why?".

I'm firmly ont he why?  for sites that need it great...but considering hte ssl model is broken and third party certs don't actually increase security across the board due to the broken model of current ssl implementation.

A Truly False Sense of Online Security. SSL is Done(At Least Third Party Certificates Should Be) | Emmanuel Technology Consulting
Black Hat: SSL and the Future of Authenticity | threatpost | Emmanuel Technology Consulting
SSL Cracked? The sky if falling!!!!! The sky if falling!!!!! The latest security overreaction | Emmanuel Technology Consulting

I should probably clarify my statement regarding SSL.  I think we were both referring to HTTPS as SSL.  So I'll restate: HTTPS is a good thing and should be encouraged for consideration everywhere as a "Why not?" instead of "Why?"

SSL protocol has issues and demonstrable attacks, TLS is intended to be a better and if it were perfect already then work on TLS 1.3 wouldn't be underway.

This site has logins and passwords - for me that is enough to welcome HTTPS (but not require it, based on my personal value of the site, otherwise I'd have complained about the previous lack of HTTPS).  HTTPS isn't a replacement for unique password discipline.  I don't use the app so don't feel the same pain on it's breakage:  I do hope the app issue gets fixed and that it can be done without disabling HTTP entirely.

External Certificate Authorities and relying on them has it's problems too which I think is what I understand your primary concern to be regarding SSL/HTTPS.  Perhaps I should have left in the slight nod I'd written saying that I'm not a spokesman for a CA (or a government).  The possibility that a Certificate Authority (that isn't yourself) has interests that are different from your own is not at all unlikely.  If this is difference in interests is effectively deliberate/indeliberate, of internal/external origin or fundamentally incompatible is a complex equation to work out.

What we have are options and little in the way of options that are perfect and without compromise.  I hope to hold my own against others in the same weight class (similar funding/resource availability) and occasionally wonder how things would hold up against a clearly more substantial set of resources.

So, I'll take HTTPS (TLS 1.2 if I can and even SSL if I must) and hope for better (as my skills and interests seem to be elsewhere regarding "actual" work).

I meant he whole ssl tls whatever infrastructure is based on a highly flawed design.  I personally have seen it cause more issues than it solves..and due to the concentration of "trust" ssl/tls/whatever is actually more vulnerable..just follow plain logic..it's the best we have yes..but frankly to do it everywhere..it's not needed.