Vlákno názorů k článku Let's Encrypt má šest nových certifikátů, přibude plná podpora ECDSA od Ondřej Caletka - Předpokládá se, že autorita na základě R3 začne...

Předpokládá se, že autorita na základě R3 začne vystavovat koncové certifikáty ke konci letošního roku. Na uživatele to nebude mít žádný dopad, jde o čistě formální změnu v řetězci důvěry.

To je poměrně optimistický předpoklad. V praxi bych spíš předpokládal, že se objeví tisíce rozbitých cest od podivných implementací ACME klientů, které řeší pouze koncový certifikát, protože mezilehlý je přece starost admina.

Takový klient je vlastně neúplný a je nebezpečné ho používat. Nedokáže reagovat na změny u autority a dřív nebo později správce narazí na to, že se mu rozbije automatická obnova. Přitom autorita samotná na to připravená je a patřičný mezilehlý samozřejmě klientovi poslat umí.

Všechny procesy, které LE zavádějí směřují k laicizaci operací. Je fakt, že laik (nebo poloprofesionál, abych hovořil kulantně) umí houby rozeznat dobrou, bezpečnou implementaci od špatné, neúplné a málo bezpečné.

Ano, přesně tak. Nezajímají mě detaily. Prostě potřebuji SSL certifikát pro svoje domény.

Když jsme u těch laických dotazů, když někdo používá certbot, dostane od určitého data automaticky ECDSA certifikát? :-)

Nedostanete. EC certifikát můžete mít už hóódně dlouho, jediné co se změnilo je to, že do teď byl ten certifikát podepsaný RSA. Nyní bude EC certifikát podepsaný pomocí EC. Nicméně, nic se nemění na straně Vašeho serveru.

Ještě dlužno poznamenat, že samotný EC certifikát se vidí málokdy. Obvykle se do serveru instalují certifikáty dva: EC a RSA. Kvůli kompatibilitě, ne každý klient si s EC poradí.

Takže pokud jste doposud EC neměl nakonfigurované, nezmění se na tom nic ani nyní.

Certbot (opravte mě někdo, jestli kecám) neumí automaticky získat jak RSA tak EC v jednom běhu. Musíte mít nainstalované dvě instance certbotu, dvě odlišné konfigurace. Jedna instance získává RSA certifikáty, druhá EC. Myslím, že se tím i rozbije konfigurační magie pro webservery (pluginy do certbotu).

Osobně certbot právě z toho důvodu nepoužívám, 90 % jeho "výhod" ztratíte, když chcete oba typy certifikátů. Používám dehydrated, který je jednodušší, ale dá se lépe zkrotit do této situace.

Mimochodem, krásně se v nahotě ukazuje, že lidé vůbec nechtějí řešit tyto otázky, ale že jsou víceméně nuceni tlakem okolností. Kdyby existovala opravdová poptávka, dávno by byly všechny tyto problémy vyřešené. Takto se 999 lidí z tisíce spokojí s výchozím nastavením certbota - tj. RSA 2048.