Odpověď na názor

I ten uplne nejjednodussi monitoring pro maly a testovaci site typu "uptime kuma" to dnes samozrejme umi a MUSI hlidat, a nastavite si to za jednotky minut. Pokud se Vam chce blbnout a delat to zbytecne slozite, tak muzete i ze shell scriptu:

echo | timeout 5 openssl s_client -servername $NAME -connect $NAME:$PORT -starttls $TLS 2>/dev/null | openssl x509 -noout -checkend 604800 | grep ...

Revokace certifikatu se udelat daji, ale obvykle se to nedeje kvuli utokum, a co je podstatne vetsi problem, overovani pomoci CRL/OCSP se ani v praxi moc neprovadi, coz bohuzel vystavitel revokovaneho certifikatu nezjisti/neovlivni. On je z obliga okazikem publikace revokace, ale uzivatel ma smulu, je to jeho boj (a casto ani netusi, zda a jak overovani revokace na tom kterem jeho koncovem zarizeni /mobil ?/ funguje).

Na druhou stranu, takto zasadni zkracovani zivotnosti certifikatu nema s bezpecnosti nic spolecneho, jen prevede placene a klasickyma CA validovane certifikaty (EV/OV) na neplacene a za mne podstatne mene duveryhodne certifikaty (DV) typu Lets Encrypt, k jejichz ziskani Vam uplne staci ziskat pristup na zarizeni, nebo alespon k webserveru na nem bezicim.

Drive browsery v adresnim /URI/ radku rozlisovaly zda a jak je certifikat validovany (EV/OV/DV), coz pro mne melo vzdy zasadni vyznam, bohuzel to browsery umyslne vzdaly, aby se pomoci nevalidovanych DV certifikatu mohl prosadit Lets encrypt a ten svou pozici logicky dale posiluje dalsim vynucovanim zkraceni doby platnosti. Nakonec treba skoncime na hodine ???

Zkraceni na 45 dni jen zvysi pocet firem, ktere od EV/OV certifikatu (bohuzel) upusti a prejdou na DV, tam zatim neni duvod platit za sluzbu. A pak treba jednou LE sve sluzby zpoplatni, protoze to stoji moc zdroju, vyzaduje to brutalni infrastrukturu a celou dobu to chudinka LE delal "zadarmo".