Vlákno názorů k článku Google chce omezit platnost certifikátů na 90 dnů, změna zřejmě přijde brzy od Pavel C. - Jděte s tím zkracováním do pr*ele - starám...
-
Jděte s tím zkracováním do pr*ele - starám se o certifikáty webového serveru pro informační systém naší školy, certifikát přegenerovávám už 1x ročně ručně (a vzpomínám na doby, kdy to stačilo 1x za -3 roky), a vzhledem k tomu, že je to cca 1% mé pracovní náplně, tak fakt nechci věnovat x hodin zkoumání, jak nastavit nějaký automatický obnovování a nechápu, čemu vadí obnovování po 1, 2, nebo klidně i 10 letech :-((. Pro mě je to jenom spousta práce navíc s něčím, co reálně není k ničemu jinému, než ke zvyšování zisku vydavatelů certifikátů. Hnus ...
-
Filip JirsákStříbrný podporovatelTak před to dejte třeba Cloudflare a nemusíte se o to starat vůbec. Nebo pokud zvládnete nainstalovat webový server, dejte před to Caddy, a po instalaci a triviální konfiguraci se o to nebudete muset vůbec starat.
To, že je to spousta práce pro někoho, kdo tomu nerozumí, fakt není argument.
-
DannyStříbrný podporovatelAno, ono je obcas dobre prestat byt otrokem minulosti a opustit postupy zazite pred 10-20 lety. Proc to neautomatizujete? Aha, nechcete... ale to jste si zvolil spatny obor, IT se proste vyviji... :-) Vzdyt je na to hromada hotovych nastroju. Nabizi se i podotazka - a proc za ty certifikaty vubec platite? Vzdyt dneska se daji poridit zadarmo a nemusite u toho vykrikovat, jak si nekdo snazi zvysit svuj zisk.
-
Aha, nechcete... Dobré věštění. Ve svém příspěvku píše, jak, ale ne proč. Zase... polemizuješ sám se sebou.
... a proc za ty certifikaty vubec platite? To je dobrá otázka a je na ní jen špatná odpověď - protože školství. Tam logiku nehledejte, může to být důsledek nějakého šlendriánu, který koncový IT nemohl ovlivnit a jen si to vyžírá. (Zástupkyně ředitele, učitelka češtiny a dějepisu dostala za úkol sepsat výběrové řízení, slyšela od učitelky IT, že je potřeba certifikát a první odkaz v google ji ukázal nějakou komerční CA, přečetla si „Důvody proč si vybrat nás“ a bylo... Nebo dodavatel systému má nasmlouvané tyto certifikáty a basta.)
Proc to neautomatizujete? Třeba to nejde, viz předchozí odpověď.
-
Filip JirsákStříbrný podporovatel
Třeba to nejde, viz předchozí odpověď.
Že by to byl webserver, před který nejde dát reverzní proxy? To se mi zdá u informačního systému školy dost nepravděpodobné. Jediné, co by tomu podle mne mohlo zabránit (při nedostatečné implementaci na straně IS), by bylo přihlašování klientskými certifikáty. (To se pak řeší tak, že reverzní proxy certifikát klienta ověří a uloží ho do nějaké hlavičky, za které si ho musí backend server vyzvednout – to je ta implementace navíc, která musí být na straně IS.) Ale nemyslím si, že by to nějaký školní IS používal (protože pokud ano, ta čtvrtletní výměna serverového certifikátu by byla ten nejmenší problém, který by se s certifikáty řešil). -
Filipe, na jakékoliv posuzování situace máme málo informací. Ten systém může být naprosto cokoliv zbastlené naprosto jakkoliv - je to školství. A ano, může v tom být neschopnost se učit nové věci a/nebo neschopnost aplikovat nějaké řešení (reverzní proxy/automatizace/výměna CA/cokoliv...).
Nechtěl jsem obhajovat autora za každou cenu, jen nastínit možný pohled na situaci druhé strany, nic víc.
-
Filip JirsákStříbrný podporovatel
Jde o webový server. Takže pravděpodobnost, že by před něj nešlo dát reverzní proxy (která by řešila certifikáty), je opravdu nízká.
-
DannyStříbrný podporovatel
No ja bych spis hledal slendrian primo na strane toho IT. Se skolnim prostredim ku vasi smule nejakou zkusenost z pozice administratora mam. Pohadku o ucitelce IT si nechte od cesty... takova ucitelka by ani nepoznala, ze ten realny certifikat je vlastne jiny... ;-) Do takovych low-level detailu vedeni skoly nekeca, protoze jim ani nerozumi.
