Odpověď na názor
Odpovídáte na názor k článku Centralizovaná automatizace certifikátů pomocí nástroje uacme. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
soukromý klíč neopustí zařízení? A jak si tohle představuješ implementovat pro různé load balancery, terminátory provozu a další? Jak zajistíš, aby ti všechna různá zařízení generovala dostatečně náhodné klíče? A proč musíš distriubovat soukromý klíč s certifikátem? O tom jsem vůbec nemluvil a ten klíč může zůstat na zařízení a být tam.
Tohle ale celé může být velmi dobře decentralizované, prakticky to tak i máme, těch služeb je více, těch serverů, které to generují je také více. Vygenerované certifikáty jsou fyzicky na daném serveru/zařízení a je potřeba komunikovat pouze při jejich obnově nebo instalaci serveru.
U aplikací tam to je trochu jiné, ale mám zpravidla nikdy aplikace nemá veřejné certifikáty (ty mají nějaké terminátory na hraně sítě), ale používají svoje interní s malou platností a pro každé spuštění si generují nový. Bez vaultu mi stejně spadne celý kubernetes, že jo.
Mám rád, když spuštění služeb a serverů není závislé na třetí službě, proto se snažím, aby všechna data měly už servery bezpečně u sebe a komunikace byla potřeba jen při jejich aktualizaci/obnově.
Problém je, že vůbec celé řešení a způsob PKI je centralizovaný, musíme se starat o CA a mezilehlé, ty aktualizovat, musím řešit revoke, monitorovat signatury použitých certifikátů a vše aktualizovat okamžitě, bez toho služby neběží.
Za mě je velmi nebezpečné, když může libovolné množství serveru si nechávat vydávat veřejné ceritifikáty, míst, které pak musím hlídat je obrovské množství a stejně to je centralizované, protože využívám jednu službu, která mi je vydává, jsem obětí rate limitů, která ta služba má a řešit to v situaci, kdy si do toho buší každý server sám je obrovské riziko, že si takhle uříznu strom pod nohama, nemluvě o tom, že i poté pro interní provoz potřebuji mít dostupný internet na vydávání certifikátu. Veřejné certifikáty prakticky mají být jen při vstupu do infrastruktury a interně ideálně používat vlastní, které mám plně pod kontrolou. Pak mohu mít implementované cross sign a mít více samostatných uzlů, které umí vygenerovat certifikát či mít lokální oddělené od internetu.
19. 12. 2025, 10:17 editováno autorem komentáře
