Vlákno názorů k článku Jitsi meet: instalace a provoz vlastní videokonferenční platformy od LD - Zaujala mě ta potřeba certifikátu. Musí to být...

Zaujala mě ta potřeba certifikátu. Musí to být nutně LetsEncrypt, tj je to hardcodováno, nebo to může být jakýkoliv podepsaný známou autoritou?(včetně extrému, ručně nahraného, podepsaného vlastním CA)?

Vlastní CA skoro jistě ne - už jen proto, že byste ji musel každému klientu nastavit jako důvěryhodnou. V různých systémech je to různě komplikované, v Androidu to opravdu nechcete.
Let's Encrypt je asi uváděna pro jednoduchost: během pár minut máte certifikát a pokračujete, zatímco získávat certifikát jinde je mnohem složitější a obvykle i dražší.

V Androide je to pomerne pomerne ľahké, dá sa to urobiť rýchlejšie ako vo Windows... akurát je to otrava.

Mať certifikát od verejnej CA je lepšie, ak danú službu budú používať aj externisti alebo používatelia majú svoje zariadenia, pretože fungujú out of the box tak ako sú.

Rychleji než ve Windows sotva. Tam stačí odklikat průvodce, jednodušší to být nemůže. Android (když jsem to naposledy dělal) trochu otravoval, tablet mě donutil zaheslovat (na rozdíl od mobilu jsem po tom nijak netoužil), a pak ještě (Lenovo) při každém spuštění tvrdil, že je tablet ohrožen (právě tím certifikátem).
iOS to má malinko složitější, ve dvou krocích. Po instalaci certifikátu (bezpečnostního profilu) se ještě musí označit za důvěryhodný.
Ale tak jak tak nechcete, aby si kdokoliv, kdo ke službě má přistoupit, musel certifikát instalovat - tím si zaděláte na spousty dotazů lidí, kteří nepochopí návod, ať ho napíšete jakkoli blbuvzdorně.
Takže dnes, při snadné dostupnosti Let's Encrypt, je to naprosto jasné - žádná privátní CA, pokud pro to nemám nějaké jiné důvody.

4. 11. 2020, 12:36 editováno autorem komentáře

Sprievodca vo Windows je ďaleko komplikovanejší, ako importér v Androide. Takže áno, rýchlejšie ako vo Windows, a to ani netreba vedieť, do akého cert store ho má človek ukladať. Vo Windows áno.

K certifikátu - zcela jistě to v Androidu nerozchodíte přes prosté http - vyzkoušeno, fakt nejde. Řešení s vlastní CA asi narazí na chybějící vlastní CA v Androidu. Podle mě by to mělo fungovat, pokud by byla použitý certifikát od jiné autority, kterou ovšem Android zná.