Vlákno názorů k článku Let's Encrypt vymění řetězec důvěry a nasadí nové mezilehlé certifikáty od oss - Co autor odporuca namiesto pinovania certifikatov napriklad v...
-
Filip JirsákStříbrný podporovatelBrání vám něco si ty klíče označit? Opravdu nějaká aplikace používá pining pro desítky klíčů?
-
Filip JirsákStříbrný podporovatel
Pokud jste měl předtím připíchnutý certifikát CA, pak veřejný klíč CA (kořenového certifikátu). Pokud chcete věřit jenom jednomu svému konkrétnímu klíči, připíchnul bych ten. Certifikát je tam pak jenom z technických důvodů, že protokol neumí pracovat jen s klíči – ale certifikát si k tomu klíči klidně můžete vydat vlastní s platností třeba 20 let.
Recyklace klíčového páru je podle mne v pohodě, když certifikáty měníte každý jeden až dva měsíce z technických důvodů, ale dříve tyto certifikáty měly platnost klidně dva roky nebo i víc. Recyklace klíčového páru se používá i pro certifikáty vydávající autority, protože pak můžete vydávat certifikáty s delší platností, než je aktuální platnost vydávajícího certifikátu, a pak následný certifikát vydaný se stejným klíčem „převezme“ místo v certifikačním řetězci.
V podstatě se tím řeší prodloužení platnosti certifikátu. Pokud máte privátní klíč bezpečně uložený (což máte mít tak jako tak), není v recyklaci žádný problém. To, že mají certifikáty omezenou platnost, není primárně kvůli klíčům, ale kvůli údajům, které jsou na certifikátu, a které zastarávají. Omezená platnost kvůli klíčům je kvůli těm, kteří neověřují CRL nebo OCSP – ale samozřejmě platí, že když dojde ke kompromitaci klíče, takový klíč nerecyklujete – ale to je naprostá samozřejmost, to by snad nikdo neudělal.
