<div dir="auto">Which ones do you intend to relax? And in any case you don't need a whole CA, you can pin a self-signed cert and still do full validation on it.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 1, 2019, 23:41 Gary E. Miller via devel <<a href="mailto:devel@ntpsec.org">devel@ntpsec.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Yo Daniel!<br>
<br>
On Fri, 1 Mar 2019 21:26:15 -0500<br>
Daniel Franke <<a href="mailto:dfoxfranke@gmail.com" target="_blank" rel="noreferrer">dfoxfranke@gmail.com</a>> wrote:<br>
<br>
> On Fri, Mar 1, 2019 at 7:01 PM Gary E. Miller via devel<br>
> <<a href="mailto:devel@ntpsec.org" target="_blank" rel="noreferrer">devel@ntpsec.org</a>> wrote:<br>
> > "noval" is not mostly for debugging.  It is essential for off<br>
> > network operation.  <br>
> <br>
> There's no point in doing NTS if you're not doing certificate<br>
> validation. The result isn't any more secure than unauthenticated NTP.<br>
<br>
There is validation, and there is validation.  Without some relaxation<br>
of the validation rules you can't run in a private net without doing<br>
your own CA.<br>
<br>
RGDS<br>
GARY<br>
---------------------------------------------------------------------------<br>
Gary E. Miller Rellim 109 NW Wilmington Ave., Suite E, Bend, OR 97703<br>
        <a href="mailto:gem@rellim.com" target="_blank" rel="noreferrer">gem@rellim.com</a>  Tel:+1 541 382 8588<br>
<br>
            Veritas liberabit vos. -- Quid est veritas?<br>
    "If you can’t measure it, you can’t improve it." - Lord Kelvin<br>
_______________________________________________<br>
devel mailing list<br>
<a href="mailto:devel@ntpsec.org" target="_blank" rel="noreferrer">devel@ntpsec.org</a><br>
<a href="http://lists.ntpsec.org/mailman/listinfo/devel" rel="noreferrer noreferrer" target="_blank">http://lists.ntpsec.org/mailman/listinfo/devel</a><br>
</blockquote></div>