Vlákno názorů k článku Google chce omezit platnost certifikátů na 90 dnů, změna zřejmě přijde brzy od Glasny - Je vlastně správně retrospektivně nebo retroaktivně? V článku...
-
Je vlastně správně retrospektivně nebo retroaktivně? V článku to slovo bylo použité a ani jedno mi oči netrhá.
Co když dojde k zpoplatnění generování certifikátů? + platba za certifikát? Zvykli jsme si na LEt's encrypt.
Není to spíš snaha o větší šmírování (častější přísun dat) do pro certificate transparencz?
-
DannyStříbrný podporovatelNic vam prece porad nebrani si vygenerovat wildcard a zautomatizovat jeho deployment uvnitr sve infrastruktury, jste-li tak paranoidni... z hvezdicky toho moc nevysmirujete :-)
-
DannyStříbrný podporovatel
Co presne je tady za problem? Pokud se neco po*ere, pak i den nekorektniho fungovani uz je problem...
-
DannyStříbrný podporovatel
No tak jasne, pokud nemate adekvatni monitoring, tak na problem prijdete az v momente, kdy certifikat vyprsi. Monitoring by mel na takove veci umet upozornit v predstihu - ostatne ani dnes se s ACME/LE nemeni certifikaty na posledni chvili, ze? To je ale fail na strane dotycneho admina... ze nema monitoring.
-
Přesně tak. A proto pokud selže aktualizace certifikátu, tak to není konec světa jak jste naznačoval(nebo tak jsem to aspoň pochopil z vašeho komentáře). A abych se vrátil ke komentáři od Glasny na který jste původně reagoval, tak právě v tomhle bodě, kdy aktualizace selhala, může být rozdíl v tom kolik je na opravu času. Při čtrnácti dnech(a méně) to už bude bezmála krizová situace. Zejména pokud na to nemáte žádný plán a vyhrazeného vývojáře.
Při devadesáti dnech to už nejspíš můžete v klidu naplánovat, opravit a otestovat i kdyby se musel vyměnit třeba celý acme klient a já nevím co ještě. -
Co přesně je tady za problém? No když mám certifikát na rok, tak ten problém může nastat jednou za rok, když na 90 dní, tak 4x za rok a když na 14 dní, tak 26x.
A kam až chcete to zkracování dohnat? Výměna certifikátu v poštovním serveru (a mnoha jiných službách) znamená restart služby, restart znamená (byť krátký) výpadek a riziko, že se něco podělá.
-
DannyStříbrný podporovatel
Omyl, spouste sluzeb ve skutecnosti staci reload... a i ten restart samozrejme muzete naplanovat do doby s mensim provozem, nemusite to pachat v ranni spicce, zejo. Honite uptime? ;-) No to je tuplem cesta do pekla...
-
Ale já o uptime nic nepíši, stejně tak o času restartu/reload - zase si vytváříš vlastní závěry, a pak s nimi polemizuješ?
Omyl je předpokládat, že spoustě služeb stačí reload, už protože to v principu nic nevyřeší. Jak reload vyřeší to, že se certifikát aktualizací rozbil? To jsem řešil - obnova certifikátu byla „úspěšná“, ale nový certifikát byl nefunkční, protože se něco tiše rozbilo... Neřeš teď co, není to podstatné.
A není nic lepšího, než ve tři ráno vstávat kvůli výpadkům (když už jsme u té ranní špičky), protože se něco rozbilo. Případně fakt miluji ty noční aktualizace, aby se to nedotklo uživatelů.
-
DannyStříbrný podporovatel
Tak chcete-li byt echt paranoidni, muzete pred reloadem sluzeb zkontrolovat i validitu (konzistenci) tech novych certifikatu, ze? ;-) Kvuli tomu fakt neni potreba zrestartovat sluzbu, abych overil, ze to co mam v ruce, resp. tedy na disku v realu neni funkcni kombinace klice a k nemu naleziciho certifikatu. A i tohle muzete zautomatizovat, ze?
Ach tyhle snahy o hledani problemu tam, kde reseni je naprosto banalni... :-)
-
DannyStříbrný podporovatel
Neni nutne pravda. Castejsi vymena vede k drillu, automatizaci, systemovemu reseni... zatimco cinnost konana jednou za rok, dva, tri... vas tolik nenuti mig ten system spravne nastaveny a odladeny, protoze holt za ten rok, dva, tri to nejak na kolene slikujete... ze? ;-)
-
Filip JirsákStříbrný podporovatelVhodnější by asi bylo retroaktivně.
Certifikáty jsou pořád zpoplatněné, většina certifikačních autorit vydává certifikáty za peníze. CA, které vám vydají certifikát „zdarma“, jsou myslím tři – Let's Encrypt je sponzorovaná, ZeroSSL i Buypass to pravděpodobně křížově financují z vydávání jiných certifikátů.
Není to spíš snaha o větší šmírování (častější přísun dat) do pro certificate transparencz?
Ne.11. 9. 2024, 10:08 editováno autorem komentáře
