Vlákno názorů k článku Certifikáty pro HTTPS zkrátí postupně do roku 2029 svou životnost na 47 dní od RRŠ - Jeden certifikát v naší firmě = 8 €...

Jeden certifikát v naší firmě = 8 € (cena za schválení a podepsání). Jen tam, kam vidím já, je takových 22, což při dosavadní roční rotaci dělá nějakých 176 € (cca 4.500 Kč) nákladů.
Při zkrácení na 47 dní ty náklady vzrostou na osminásobek, a pokud připočítám, že změna musí být dříve, než pár minut před vypršením, tak minimálně na desetinásobek. Což znamená odhadem 50 000 Kč jen za certifikáty každý rok (plus práce těch, kteří to udržují).

A nesmím zapomenout, že každý zásah je spojen s rizikem, že se ta výměna nějak nepovede a něco se rozbije.
Dlouhodobě máme tenhle typ chybovosti někde kolem jednoho procenta, což dávalo jednu chybu za cca 5 let.
Ale pokud se něco rozbije každých pár měsíců, těžko budeme managementu vysvětlovat, že spolehlivost našich služeb je závislá na automatických scriptech a od dob ručního zpracování klesla.

Tak třeba někdo u vás už dojde k tomu, že 50 000 Kč ročně za certifikáty je moc a proces se změní. A bude vás to stát v průměru třeba 10 Kč ročně. A nebo ne a budete to dělat dál za těch padesát tisíc – to je ale váš problém.

Zajímalo by mne, jaké máte zkušenosti s korporátním prostředím. ;-D

Spíš očekávám argument: náklady stouply a protože to nemusíte dělat ručně, propustíte někoho z teamu.
Navíc píšu jen o té (malé) části systému, kterou vidím. Ve skutečnosti těch certifikátů bude násobně více - a stále jich přibývá, jak roste složitost a propojování systémů s různými cloudy a AI funkcemi.
Ono samotné vygenerování nebude tak složitý problém, jako (bezpečná) distribuce a nasazení. Drtivá část těch systémů není zvenku dostupná a ani nemá na internet přístup.
(A to píšu jen o těch externích certifikátech, počty těch interně vydaných jsou mnohonásobně vyšší.)

Jak "externí" tak i interní certifikáty jdou přece generovat a nasazovat automaticky? V našem "korporátním prostředí" takhle řešíme stovky domén a to napříč všemožnými technologiemi. Co je překážkou u vás?

15. 4. 2025, 09:02 editováno autorem komentáře

Byrokracie a centrálně řízené procesy.

" jdou přece generovat a nasazovat automaticky"

Fakt? Okamzite si te najimam ale pocitej s tim, ze jestli tohle nezvladnes, budu pozadovat smluvni pokuty v 8mi cifrach.

Tak ale komu se chce ručně měnit certifikáty. To je nějaký masochismus?

Určitě je to v náročném prostředí, které popisujete náročné všechno udělat správně a bezpečně. A teď to celé automatizovat vyvolává frustraci. Na druhou stranu myslíte, že ruční distribuce a vyřizování certifikátů má přidanou hodnotu pro firmu?

"Na druhou stranu myslíte, že ruční distribuce a vyřizování certifikátů má přidanou hodnotu pro firmu"

To mi rekni, japa automaticky zjistis, ze ten system, co je slozenej z 10 ruznych serveru (databaze, weby, ...) a stovek servis ... po restartu vseho kvuli vymene certifikatu ... taky jeste aspon nejak funguje.

hlásím se k tomu, že jsem už v několika korporátech (ještě spadající pod ZoKB) tenhle problém vyřešil či jeho řešení navrh (a pak si realizovali sami).

Veřejné SSL certifikáty nemají co dělat v interní infrastruktuře, tam dominuje interní CA s vlastními pravidly. Veřejné SSL zůstanou pak jen na nějakých hraničních F5 a zbytek sítě o nich neví, v F5 jejich aktualizace je levná.

A pokud jde o bezpečné propojování těch hromady divných zvířátek na zemi, ve vzduchu a ve vodě, tak opět, SDN, tunelování, brány a balení komunikace do transportní vrstvy. I to se dá dělat transparentně v korporátním prostředí.

Co je ale důležité, tohle málokdy dokážeš prosadit interně, potřebuješ externí společnost, která je najata ne governance/au­dit/security a tyhle pravidla prosadí navzdory střednímu managementu. Což s příchodem NIS2 se to daří poměrně široce implementovat a ty zatuché vody vylepšovat.

Spousta ruznych uzasnych frikulynskych aplikaci vyzaduje "duveryhodny" certifikat === ten verejny. Interni do nich bud nedostanes nijak, nebo rozhodne ne nijak automaticky, pokud to vubec jde, je treba to vsemozne hackovat.

Zkus si jen udrzovat v provozu takovou pitomost jako pristup k mailum ze schnilych jablek ... kazdej pulrok to prestane fungovat a prave to ze se tomu z nejakyho duvodu znelibi certifikat je jeden z duvodu.

Zajímalo by mne, jaké máte zkušenosti s korporátním prostředím. ;-D

Už vám někdy někdo řekl, že tam nemusíte pracovat? Tyhle otázky typu: "jaké máte zkušenosti s X" mě fascinují od chvíle, kdy jsem v roce 2006 vyšel z Univerzity Palackého.

V první firmě jsme ve 3 lidech (ne 300, ne 300tis) za 14 měsíců připojili na tehdy začínající internet v ČR. Jeden expert na sítě, já jako expert na linux schopen nastavit celou síť jen díky dokumentaci toho experta a k tomu skvělej kluk z učnáku, který uměl perfektně vrtat do betonu klidně metr široký a protáhnout tím 10x UTP cat5e kabely.

Z každého klienta jsme měli čistý zisk 200Kč měsíčně. Za 16 měsíců x 400 klientů to znamená 1.280.000Kč čistého zisku pro tři zaměstnance! Průměrné náklady na instalaci: cca 500Kč, klient zaplatil 2000Kč. Na počátku se koupila jedna pořádná vrtačka, několik beden CAT5e kabelů (takže třeba 5km kabelů na našem skladu). Tedy 50 000Kč na počátku a bez problémů to vydrželo na 5 let. Ta vrtačka vrtá dodnes (19 let!). Vrtáky se kupují za pár stovek a vydrží rok. Takže průběžné náklady max 10 tis ročně.

Potom jsem ve 4 lidech dělal weby. Naučil jsem se PostgreSQL, linux a sítě jsem uměl. Potom jsem se naučil WordPress. Instalace serveru pro web pro klienta hotová ručně za 20minut. Včetně https (od roku 2012 standard, pro nás). Grafik nafotil pěkné obrázky, učitelka češtiny připravila článek a web byl za jeden den na světě. Zákazník (firma), ráda zaplatila třeba 50tis. Takže čistý zisk pro firmu o 4 lidech při 20 webech do měsíce 1 milion měsíčně.

Takže na co korporát? V úplně nejhorším případně potřebuješ 5 lidí na vše. Elektrikáře s platným certifikátem od TIČR, SSL certifikáty jsou zadarmo (už před vznikem LetsEncrypt), naskriptovaná instalace virtuálky nebo potom kontejneru (LXC, Systemd nspawn, nebo klidně i free verze Virtual Box nebo vmware) hotova do 5 minut. Klonování existující template mašiny nebo prostě Ansible, klidně i vyladěný bash skript to umí. A externí OSVČ účetní, který dělá účetního po emailech pro 50 firem.

Jestli si někdo v roce 2025 stěžuje na to, že v korporátu do nejde, tak celý můj profesní život od roku 2006 dokazuje, že korporát není potřeba vůbec na nic. Ale jestli chcete za certifikáty platit 50tis. a musí to trvat 3 měsíce, tak to klidně plaťte a čekejte měsíce na cokoliv.

20. 4. 2025, 20:11 editováno autorem komentáře

Budeme to delat za 50kkc jeste 10 let nez vyprsi smlouva. A nebude pak vanocni vecirek.
Nebo bude. Ale u ohne, s poezii v ruce a rozladenou opalenou kytarou misto zive kapely.
Svede se to na IT ze neumi byt efektivni i kdyz oni nerozhodovali o vydavajici CA.
To rozhodli CISO s CIO a jejich "novymi kamarady" na golfovem hristi za Dubaji.
A jake mate vy zkusenosti s korporatem?

15. 4. 2025, 12:50 editováno autorem komentáře

Proč by jste měl ročně platit 50 000? Jak to chápu já tak po stránce financování nebudou větší změny.

Certifikační autority už delší dobu přechází na model "Subskripce" (Jak to má například ZeroSSL) nebo předplacení certifikátů - koncák si koupí certifikát na určité období jak tomu bylo doteď, jen si ho musí pravidelně obnovovat. Koneckonců to jde vidět i dneska, když si otevřete kteroukoliv certifikační autoritu, uvidíte možnost si koupit certifikát i na delší dobu než 1 rok, většinou až na 5 let - to neznamená že vám CA vystaví certifikát na 5 let, ale že máte na dalších 5 let zaplacenou obnovu certifikátu.

15. 4. 2025, 08:40 editováno autorem komentáře

Co si náš zahraniční vlastník vybral, to používáme... Ale třeba na tu subskripci taky dojde - za těch cca 10 let je to stihnutelné.
Nicméně větší problém vidím té automatizaci. To není za současných (bezpečáckých) podmínek vůbec možné.
Navíc těch certifikátů dost přibývá, a hrozí, že jedna chyba rozbije pořádný kus sytému.
Už vidím, jak budu každou chvíli vyplňovat NIS2 hlášení, že kus kritické infrastruktury zase nešel, protože jakýsi script, který nemám pod kontrolou, nestihl ověřit organizaci při obnově certifikátů, takže se nestihla distribuce a rozpadla komunikace...

tak to budú musieť prehodnotiť prístup aj bezpečáci. Preto sa ohlásila táto zmena dopredu, aby sa o tom vo firmách začalo hovoriť. Vašou úlohou je len posunúť túto infomráciu ďalej na vyššie miesta aby sa o probléme začalo čo najskôr hovoriť a jeho riešenie sa zaradilo do plánu. Jasné v korporáte sú postupy pomalé a komplikované, ale ak ide o peniaze tak vrcholový menežment na to počuje a bude riešiť ako zvýšiť efektivitu.
A že prestane dávať zmysel jedna pozícia čo celý rok robí len výmenu certifikátov je prirodzený vývoj. Buď sa nájdu iné úlohy ktoré prinesú firme ešte vyšší zisk alebo jednu pozíciu zrušia, to už záleží na kondícii spoločnosti. Svet je proste taký

Dokud je to ta výměna jednou do roka, je to prkotina, která stojí pár mandayů za rok. Tady to půjde směrem: přibude práce, ale až se to zautomatizuje, tak vám jednoho sebereme.

Zacalo hovorit ... se zacne hovorit? Odkdy se neco udela na bazi "se zacne hovorit?"
Budto nekdo neco udela protoze dostane ukol nebo ne.
Tim ze "se zacne hovorit" se nic neudela.
Pak jeste funguje PDD. Pruser Driven Development.

Nedelame oba dva pro stejny korporat? Nebo nemely nase korporaty stejne bezpecnostni konzultanty?

Jasně, a proč je předpoklad, že placení certifikátu zůstane stejné?

Je pravděpodobné, že se bude platit ročně, podobně jako u jiných produktů. Možná ale nepůjde o roční, ale o měsíční platbu. Takže ano, dá se očekávat zdražení, ale nemyslím si, že by bylo tak katastrofické, jak zmiňuješ.

Predpoklad je ze to nebude napriklad pomerna mesicni cast treba z rocni castky ale kdyz to sectete bude to trochu vice.
A jeste muzete zaokrouhlovat centy :-)))
Protoze to zvysi load systemu, auditoru, nakladu na vyvoj a komunikaci supportu ktery bude resit vetsi naval proc XY na prodluzovani zas nejde.

Pak musite jeste zamestnat tymy konzultantu kteri za nejake vsimne pomohou zakosum s migraci - tj. vyrobili jsme na schuzi problem a my vam s tim pomuzeme za vyhodnou cenu.

Je mi lito, ale k tomuto tematu nemam co bych technicky dodal. Je to jen politika a valky prohlizecu.

Chceme-li to vyresit tak oprasme myslenku DNSSEC+DANE.

15. 4. 2025, 15:30 editováno autorem komentáře

"oprasme myslenku ...DANE"

To by neslo, pres to se smirovat vazne neda.

Jasne, takze to ze to neumis a bude te to stat prachy je logicke. Ale rozhodne za to nemuze cena certifikatu...

Ta cena za rok zustane stejna, neboj. Jen budes mit 9 certu.