Hlavní navigace

Názor k článku Let's Encrypt má šest nových certifikátů, přibude plná podpora ECDSA od Petr Krčmář - Což je samozřejmě logické a jasné už ve...

  • Článek je starý, nové názory již nelze přidávat.
  • 21. 9. 2020 9:23

    Petr Krčmář

    Což je samozřejmě logické a jasné už ve chvíli, kdy si do TLSA dám klíč z mezilehlého certifikátu autority. Ten má omezenou platnost a autorita ho může kdykoliv vyměnit. Musím pak monitorovat, že se to nestalo a věci se mi nerozbily.

    Pinovat mezilehlý klíč (nebo certifikát) má jen samé nevýhody: nechrání před vystavením podvrženého koncového certifikátu stejnou autoritou, klíč nemám pod kontrolou a musím (na rozdíl od self-sugned) posílat celou cestu. Mnohem jednodušší je pro TLSA v poště použít vlastní certifikát s vlastními pravidly.