<div dir="ltr">Thanks for the clarifications Tim/Brian.<div><br></div><div>My example of FSF was a poor one, I am not aware of any group wishing to act as a certification authority for open source projects.<br><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div>--</div><div>Jody Garnett</div></div></div></div></div></div>
<br><div class="gmail_quote">On 17 October 2015 at 10:35, Jody Garnett <span dir="ltr"><<a href="mailto:jody.garnett@gmail.com" target="_blank">jody.garnett@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Going to take up Maxi's comment here:<div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:13px">Because i didn't had the chanche to deeper dig into this, and ideally i don't like a system asking to pay for installing a free software.</span></blockquote><div class="gmail_extra"><br></div><div class="gmail_extra">It may be a small distinction, but we are not asking users to pay for installing free software. Instead we are paying for a certificate identifying our organization (i.e. OSGeo) and we are going to use this certificate to "authenticate" a software download as being produced by our community, rather then say another vendor. It is these kind of costs that operate as a barrier to our open source software, and being in position to open these doors is a way we can provide value as a Foundation.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Personally I am not sure if I like it or not, but I recognize it as something that needs to be done.</div><div class="gmail_extra"><br></div><div class="gmail_extra">I think we could (in the future) ask the FSF could act as a signing authority and give us a certificate etc... but I think even in that case we would like to give them a donation for the trouble/service. Doing a bit of research it seems most open source developers take on this cost themselves or via a software foundation.</div><div class="gmail_extra"><div><div><div dir="ltr"><div><div dir="ltr"><div>--</div><div>Jody Garnett</div></div></div></div></div></div>
<br><div class="gmail_quote"><span>On 15 October 2015 at 09:11, Jody Garnett <span dir="ltr"><<a href="mailto:jody.garnett@gmail.com" target="_blank">jody.garnett@gmail.com</a>></span> wrote:<br></span><div><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Today's board meeting had the following agenda topic:<div><br></div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><ul style="line-height:1.5em;list-style-type:square;margin:0.3em 0px 0px 1.5em;padding:0px;color:rgb(0,0,0);font-family:sans-serif;font-size:13px"><li style="margin-bottom:0.1em">discuss possibility of OSGeo software signing certificates [Anita] (i.e. OSX seems to not allow installation of unsigned software by default --> user needs to change configuration --> signed software would appear more professional. On the QGIS mailing list, we were discussing that we could have a QGIS.org certificate but since QGIS depends on so many other OSGeo tools - which would also have to be signed - it might be more appropriate to have an OSGeo certificate.)</li></ul></blockquote><div><font color="#000000" face="sans-serif"><br></font></div><div><font color="#000000" face="sans-serif">Moving discussion here to the mailing list, and will make the motion tomorrow.</font></div><div><br></div><div><font color="#000000" face="sans-serif">As this is the OSGeo board mailing list I would like to keep the technical details of signing to a minimum and focus on our role in supporting the QGIS project.</font></div><div><font color="#000000" face="sans-serif"><br></font></div><div><font color="#000000" face="sans-serif">We are focused on a very clear question - can OSGeo obtaining a certificate for use by OSGeo projects. The cost appears to be nominal (one <a href="https://www.digicert.com/code-signing/" target="_blank">quote</a> is $160/yearly).</font></div><div><font color="#000000" face="sans-serif"><br></font></div><div><font color="#000000" face="sans-serif">I view this as an appropriate use of the OSGeo branding and well within our capacity as an organization.</font></div><div><div><div dir="ltr"><div><div dir="ltr"><div>--</div><div>Jody Garnett</div></div></div></div></div></div>
</div></div>
</blockquote></div></div></div><br></div></div>
</blockquote></div><br></div></div></div>