Vlákno názorů k článku Let's Encrypt na web hostingu: firmy o něm vědí a připravují se od Honza - Dokud bude stále tolik lidí civět do internetu...

Není potřeba mít vlastní IP adresu, stačí mít víc adres v jednom certifikátu. No a pokud certifikát zprostředkovává webhoster, má k dispozici privátní klíč a všechny certifikáty jsou vydané od jedné autority, není žádný technický důvod, proč všechny weby hostované na jedné IP adrese nedat do jednoho certifikátu. Akorát tím webhoster prozradí, kolik webů na té jedné IP adrese má, a nebude pro ně fungovat certificate pinning, protože ten certifikát se asi bude měnit hodně často.

Tohle je prakticky dost slozite udelat. Nedovedu si predstavit, ze nejaky velky hosting s desitkami/stovkami novych webu denne po kazde objednavce menil certifikat.

SNI je dneska prakticky bez problemu pouzitelne. Pokud mate bezpecne nakonfigurovany webserver a pouzivate certifikat s SHA-2, tak jste stare browsery stejne odrizl ... ten problem se chybami typu POODLE, BEAST apod. vlastne vyresil sam ;-)

Popravde jsem doufal, ze se vice zacne pouzivat DANE ale podpora na strane klientu je porad dost mizerna a v komercnim prostredi je to nepouzitelne.

Nevidím rozdíl v tom, jestli nějaký automat nakonfiguruje pro novou doménu nový certifikát nebo nahradí stávající.

Já v tomto směru vkládám naděje do Let's Encrypt – že všem ukáže, že DV certifikáty jsou nesmysl a je potřeba místo nich do klientů dostat podporu DANE.