Vlákno názorů k článku Kořen Let's Encrypt na konci měsíce vyprší, dotkne se to starších klientů od Šimon Formánek - No a fakt se dneska v noci spustě...
-
No a fakt se dneska v noci spustě lidí na linuxu, zejména ti, co mají ode mně starou SeaMonkey co nemá autoupgrade, rozbila půlka internetu :(
Nevíte prosím někdo o nějaké alternativě k Let's Encryptu, kde to vydrží co nejdýl?
Já dělám eshopy, tak jsem už rovnou varoval největšího klienta a zeptal se, jestli je ochotný event. platit za komerční certifikát...A ještě něco, dá se detekovat ten problém v loogu Apache?
1. 10. 2021, 03:48 editováno autorem komentáře
-
To chápu, svým kamarádům SeaMonkey upgraduju, ale v mezičase, než ty neupgradovatelný klienti zmizej, tak se mým zákaníkům, co mají ten let s'encrypt část návštěvíků nedostane na stránky, tak i kdyby to bylo na rok, nevíte, pane Krčmáři, kde bych měl šanci na co nejdelší odklad problému? Vzhledem k tomu, že let s'encrypt má i Seznam, tak Češi asi za pár týdnů upgradujou, ale co cizinci, který mi přijdou se starým mobilem na Obecní dům se poodívat co hrajou? Budou Němci taky pod tlakem upgradovat nebo je tam ten let s'encrypt míň rošířenej a budou si stěžovat, že jim web nechodí? Poznám nějakej error v logu apache, abych viděl, kolik jich bylo?
-
Pokud to mají pět let neaktualizované, tak mají smůlu a už se jim ta chyba objevuje. Včera původní kořen vypršel. V logu na serveru to vidět není, problém vzniká u klienta a server o něm nemá tušení. Rychlým řešením by samozřejmě bylo přejít na jinou autoritu se starším kořenem, který ještě platí. Ale tím se ten problém opět jen odloží, protože se to časem zopakuje.
Seznam sice má Let's Encrypt, ale používá nový kořenový certifikát ISRG Root X1, který je stále platný a noví (mladší než pět let) klienti ho znají, takže s tím není problém. Problém je skutečně jen s velmi starým a neaktualizovaným softwarem.
-
V logu web serveru to vidět nebude, to se děje na nižší vrstvě při vyjednávání TLS. Pokud to klient zavře, když tu chybu uvidí, tak se k web serveru žádný požadavek ještě nestihl dostat. To by se muselo logovat na TLS a tam by bylo vidět, že klient neukončil handshake a komunikace se uzavřela po odeslání certifikátu klientovi.
-
„Každou chvíli“ jednou za dvacet let? Tedy v tomto konkrétním případě za šest, protože delší dobu ta autorita neexistuje. Jak už jsem psal: pokud nebudou aktualizovat, stane se jim to s libovolnou autoritou. Stalo se to už mnohokrát, jen teď se o tom víc mluví, protože je HTTPS rozšířenější a je to víc vidět. Let's Encrypt v tomhle směru ale neudělala nic špatně, je to běžná věc.
-
Proč je šest let málo a deset let už je dost? Určitě se najde někdo, kdo by chtěl ještě víc. Navíc nezáleží na tom, s čím autorita začala, ale na tom, kdy jste od ní pořídil certifikát. Vy pořizujete službám certifikáty jen od autorit, které mají kořen k dnešnímu dni stále platný více než deset let?
-
Filip JirsákStříbrný podporovatelRada že zákaznící musí aktualizovat, jestli si chtějí něco koupit, je ale poněkud arogantní a nemusí se vyplácet.
Já takovou radu nikde nevidím. Zákazníků, kterým to nebude fungovat, bude minimum. A nebude jim fungovat půlka internetu, takže stejně nebudou řešit nějaký jeden e-shop, ale to, aby si spravili počítač.Levněji opravdu může vyjít si koupit certifikát od nějaké autority, co lépe plánuje a nepodepisuje s certifikátem co každou chvíli expiruje.
Každou chvíli… Víte, ono to s těmi letitými certifikáty také nemusí být žádná hitparáda. Třeba se někdy tvůrci prohlížečů rozhoupou k tomu, že když už několik let nepovolují serverové certifikáty založené na SHA-1, mohli by to samé pravidlo začít uplatňovat i pro certifikáty autorit. A ty třicetileté certifikáty půjdou tam, kam patří.Mimochodem, víte kdy expirují certifikáty autority, kterou podepisuje Google? Za 6 roků a 4 měsíce. To je v pořádku a 6 let je málo? Microsoft používá autoritu, jejíž certifikát vyprší za čtyři a půl roku.
