<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Jan 7, 2015 at 11:01 AM, Ludolf Holzheid <span dir="ltr"><<a href="mailto:lholzheid@bihl-wiedemann.de" target="_blank">lholzheid@bihl-wiedemann.de</a>></span> wrote:</div><div class="gmail_quote"><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">I don't know your setup, but if there is no proxy involved, you don't<br>
need the 'protocol=...' option.  For certificate pinning, you'll<br>
certainly need 'CAfile=...' or 'CApath=...', and 'verify=LEVEL' with<br>
LEVEL not below 2<br></blockquote><div><br></div>Hmm, what do you mean by "no proxy involved?"    Unless I'm modifying the source,  wouldn't using stunnel essentially always be proxy?<div><br></div><div>To be even more explicit,  the HTTP client is cabal-install,  which is a program that downloads and compiles code from the Hackage public source code repository for Haskell.    cabal-install is HTTP only,  whereas Hackage supports both HTTP and HTTPS.    I _could_ modify cabal-install,  as it is free, libre, and open source software,   but for reasons both good and bad,  getting the changes pushed upstream is problematic.   So I was curious about finding a quick workaround for those concerned about possible MITM attacks injecting malicious code into the packages,  and came up with the idea of a stunnel or nginx proxy.    (Some of the people who run Hackage are working on code signing,  but who knows when that'll finally be available...)<br><br></div><div>Perhaps the man page would make a little bit more sense to me on this count if I had a better understanding of the TLS protocol and how it relates to https,   but that's not something I honestly know all that much about.    As it stands the man page is a bit opaque to me on this topic...</div><div><br></div><div>Best,</div><div>Leon </div><div><br></div></div></div></div>