Vlákno názorů k článku Let's Encrypt má šest nových certifikátů, přibude plná podpora ECDSA od pepa - Prekopirovavam z mailinglistu postfixu, Please note that the Let's...

Článek je starý, nové názory již nelze přidávat.

21. 9. 2020 8:28

Prekopirovavam z mailinglistu postfixu,

Please note that the Let's Encrypt intermediate CA certificate "X3" will soon be
phased out in favour of "R3" and "E1" which have new keys, and so any DANE TLSA
"2 1 1" records matching "X3" will not match "R3" or "E1".

  https://letsencrypt.org/2020/09/17/new-root-and-intermediates.html

If you are using Let's Encrypt with DANE-TA(2) [issuer CA] TLSA records, any extant
"2 1 1" records need to be augmented soon with additional records matching the new
"R3" and "E1", in advance of these reissuing your certificates.

Failure to act in time is likely to result in an outage once renewals switch to
signing via "R3" or "E1".

Links to the actual certificates can be found at:

        https://letsencrypt.org/certificates/
        https://letsencrypt.org/certs/lets-encrypt-r3.pem
        https://letsencrypt.org/certs/lets-encrypt-e1.pem

The "2 1 1" digests of "R3" and "E1" are (but don't take my word for it,
re-compute these for yourself):

        ; $ tlsagen lets-encrypt-r3.pem smtp.example.org 2 1 1
        ;
        _25._tcp.smtp.example.org. IN TLSA 2 1 1 8D02536C887482BC34FF54E41D2BA659BF85B341A0A20AFADB5813DCFBCF286D

        ; $ tlsagen lets-encrypt-e1.pem smtp.example.org 2 1 1
        ;
        _25._tcp.smtp.example.org. IN TLSA 2 1 1 276FE8A8C4EC7611565BF9FCE6DCACE9BE320C1B5BEA27596B2204071ED04F10

The above were computed with the attached "tlsagen" script, but it is
prudent to also check with tools from other sources, this email message
could well have been a forgery (I hope your copy matches what I sent).

Na nektere uzivatele to muze mit dopad, tak at jste pripraveni :)

21. 9. 2020, 08:29 editováno autorem komentáře

Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor

21. 9. 2020 9:23

Petr Krčmář

Což je samozřejmě logické a jasné už ve chvíli, kdy si do TLSA dám klíč z mezilehlého certifikátu autority. Ten má omezenou platnost a autorita ho může kdykoliv vyměnit. Musím pak monitorovat, že se to nestalo a věci se mi nerozbily.

Pinovat mezilehlý klíč (nebo certifikát) má jen samé nevýhody: nechrání před vystavením podvrženého koncového certifikátu stejnou autoritou, klíč nemám pod kontrolou a musím (na rozdíl od self-sugned) posílat celou cestu. Mnohem jednodušší je pro TLSA v poště použít vlastní certifikát s vlastními pravidly.

Vlákno názorů k článku Let's Encrypt má šest nových certifikátů, přibude plná podpora ECDSA od pepa - Prekopirovavam z mailinglistu postfixu, Please note that the Let's...

Dále u nás najdete

Zapomínání může být příznakem mozkové mlhy. Jak se řeší?

Osvědčený recept na linecké. Zásadní je správný poměr surovin

Zahraniční cestovní náhrady v roce 2026. 0smnást nových sazeb

ChatGPT rozšiřuje prostor pro spolupráci

Proč přichází éra suverénních datových center?

Pětina lidí leží v nemocnicích zbytečně, ale není je kam přemístit

Kolik bude stát snížení záloh OSVČ? Každý tvrdí něco jiného

Pojišťovny přispějí na bílé plomby. Jednou za dva roky na každý zub

KVÍZ: Pravda, nebo lež? Jak dobře znáte československé retroznačky?

Nádor slinivky se ohlásil nafouklým břichem, pak přišla rychlá operace

Příběh fyzioterapeuta, který léčí závratě a jezdí k lidem domů

OpenAI zaznamenala velký únik dat některých uživatelů

Celková anestezie u zubaře bude na pojišťovnu, ale jen pro někoho

Datové schránky se budou stěhovat a projdou redesignem

Huawei se ne a ne odporoučet z Česka a Evropy

Česká televize chystá projekt Tak moment pro mladé

Stop nákupům, start pomoci: je tu Giving Tuesday

Získá Netflix také HBO Max? Souboj jde do finále

Kdy se hodí a jak funguje prodloužená záruka

V ČR vznikají čtyři velká datacentra pro AI