Vlákno názorů k článku Let's Encrypt zjednoduší práci s DNS, bude stačit přidat záznam jen jednou od dr_ak - Hmm, mě ohledně zkracování maximální doby platnosti zajímají...

Zmenit datum muze kazdy jeden uzivatel libovolnyho desktopu.
Bez admin práv ani ne. A ne beztrestně - když posunu datum zpět, přestanou mi platit certifikáty, které podle toho posunutého času ještě nezačaly platit. Kerberos taky nemá rád nesmyslný čas.

Jiste, jirsak je v praci 24/7 a dovoleny si zasadne nebere. Celou tu dobu travi vyhradne a pouze tim, ze vartuje zda se nekde neco nepodelalo, a jeden ze 1589897 certifikatu se zrovna neobnovil.
Já jich tolik nemám, ale tohle mi snad ohlídá nagios nebo něco podobného. Po přechodu na ACME za těch několik let snad nenastal ani jeden problém, že by se certifikát neobnovil včas.

Co se certifikátů týká, my tedy na Azure na ingressu s obnovováním certifikátů válčíme permanentně. A to by to mělo chodit automaticky. No, mělo. Většinou chodí. Problém je ale právě v tom většinou. Při představě, že se tohle nebude dít co tři měsíce ale každý týden na to můžeme rovnou najmout brigádníka.

A ne, nepište mi proč to tedy neopravíme. Jednak o tom nerozhoduji ani je nespravuji (natož abych k nim měl práva), druhak na to firma nemá pořádně peníze, energii ani čas a do třetice se nám za několik let nepodařilo vysledovat proč se to děje protože jsou to kontejnery a cloud. Přitom je to nejen pro nás víceméně zbytečné.

Nagios sam od sebe nic neohlida. Nekdo ho musi nastavit a konfiguraci zvalidovat. Stejne tak nekdo musi nastavit validaci zda-li system spravne reportuje expirovany certifikat.
Na to potrebujete nejake know how.

> Bez admin práv ani ne.

U mě teda faketime žádná zvýšená oprávnění nevyžaduje. Je to LD_PRELOAD wrapper.

Jasne sem se ptal, kolik kdo kdy revokoval certifikatu. Neumis cist?
Číst umím. A vy? Já jsem vám totiž jasně vysvětlil, že to, kolik kdo revokoval certifikátů, je úplně irelevantní.

Zmenit datum muze kazdy jeden uzivatel libovolnyho desktopu.
Jednak to není pravda, někde jsou k tomu potřeba administrátorská oprávnění. Jednak – a to už jsem vám také psal – je to irelevantní, protože s tím časem by musel umět manipulovat útočník. A mimochodem, manipulovat s časem počítače, který chcete používat pro internetovou komunikaci, není moc dobrý nápad. Čím víc čas posunete oproti skutečnému času, tím větší riziko, že narazíte na jiné neplatné certifikáty.

Jiste, jirsak je v praci 24/7 a dovoleny si zasadne nebere. Celou tu dobu travi vyhradne a pouze tim, ze vartuje zda se nekde neco nepodelalo, a jeden ze 1589897 certifikatu se zrovna neobnovil.
Je mi líto, že vám kazím vaše představy o světě, ale banky nemají jenom jednoho jediného administrátora. A hlídat obnovení certifikátu může software, nemusí to dělat člověk.

I ten uplne nejjednodussi monitoring pro maly a testovaci site typu "uptime kuma" to dnes samozrejme umi a MUSI hlidat, a nastavite si to za jednotky minut. Pokud se Vam chce blbnout a delat to zbytecne slozite, tak muzete i ze shell scriptu:

echo | timeout 5 openssl s_client -servername $NAME -connect $NAME:$PORT -starttls $TLS 2>/dev/null | openssl x509 -noout -checkend 604800 | grep ...

Revokace certifikatu se udelat daji, ale obvykle se to nedeje kvuli utokum, a co je podstatne vetsi problem, overovani pomoci CRL/OCSP se ani v praxi moc neprovadi, coz bohuzel vystavitel revokovaneho certifikatu nezjisti/neovlivni. On je z obliga okazikem publikace revokace, ale uzivatel ma smulu, je to jeho boj (a casto ani netusi, zda a jak overovani revokace na tom kterem jeho koncovem zarizeni /mobil ?/ funguje).

Na druhou stranu, takto zasadni zkracovani zivotnosti certifikatu nema s bezpecnosti nic spolecneho, jen prevede placene a klasickyma CA validovane certifikaty (EV/OV) na neplacene a za mne podstatne mene duveryhodne certifikaty (DV) typu Lets Encrypt, k jejichz ziskani Vam uplne staci ziskat pristup na zarizeni, nebo alespon k webserveru na nem bezicim.

Drive browsery v adresnim /URI/ radku rozlisovaly zda a jak je certifikat validovany (EV/OV/DV), coz pro mne melo vzdy zasadni vyznam, bohuzel to browsery umyslne vzdaly, aby se pomoci nevalidovanych DV certifikatu mohl prosadit Lets encrypt a ten svou pozici logicky dale posiluje dalsim vynucovanim zkraceni doby platnosti. Nakonec treba skoncime na hodine ???

Zkraceni na 45 dni jen zvysi pocet firem, ktere od EV/OV certifikatu (bohuzel) upusti a prejdou na DV, tam zatim neni duvod platit za sluzbu. A pak treba jednou LE sve sluzby zpoplatni, protoze to stoji moc zdroju, vyzaduje to brutalni infrastrukturu a celou dobu to chudinka LE delal "zadarmo".

> Zkraceni na 45 dni jen zvysi pocet firem, ktere od EV/OV certifikatu (bohuzel) upusti a prejdou na DV

Proč? Přes ACME protokol (či jinak automatizovaně) nejde vydávat EV/OV?

> Jiste, jirsak je v praci 24/7 a dovoleny si zasadne nebere. Celou tu dobu travi vyhradne a pouze tim, ze vartuje zda se nekde neco nepodelalo, a jeden ze 1589897 certifikatu se zrovna neobnovil.

Zajímavé, co ostatní problémy, které mohou nastat? Když to je provoz, který má jednoho admina, který je měsíc v kuse (nebo jak dlouho před expirací obnovujete certifikáty?) nedostupný, tak to asi stejně moc nefunguje.

"Zajímavé, co ostatní problémy"

Videls nekdy nekde nejakou infrastrukturu? Kdyz umre cokoli, je mi to uplne jedno, protoze funkcne to nicemu nevadi. Kdyz pojde celej server, jsou tam dalsi ktery preberou jeho praci ... kdyz pojde storage ... dtto.

Kdyz pojde cert, je to SPOF, neexistuje zadnej zpusob jak to vyresit. A takovych certu mas i v pidiinfrastrukture stovky.

Mimo jine se presne z toho duvodu uplne vsude konfiguracne nastavuje, ze certifikat to ma zcela ignorovat a proste pouzit ten, kterej mu to nabidne. Pripadne se cela komunikace resi strikne nesifrovane. Treba soudruzi z google to maji presne tak.

Ono se totiz davno vi, ze neco opravit nebude trvat hodinu ani dve, ale spis tak mesic nebo dyl.

Když máte redundantní servery, proč nemáte i redundantní i certifikáty? Není problém mít na jedno jméno vystaveno víc certifikátů, klidně i od různých certifikačních autorit. Je i víc certifikačních autorit podporujících ACME a vydávajících certifikáty zdarma – minimálně Let's Encrypt a ZeroSSL (a jestli se nemýlím, je ještě minimálně jedna další taková autorita).

Takže o jakém SPOF píšete?

Kolik aplikaci umoznuje pouzivat vic certifikatu zaroven?
Řešíte problém s vystavováním certifikátu. To, že je certifikát vystaven, neznamená, že se musí používat.

Můžete mít řadu certifikátů od jedné CA, které budete mít na serveru. A druhou řadu certifikátů od druhé CA, posunutou o polovinu období platnosti certifikátů. Tu budete mít jenom jako zálohu – a přepnete na ni v okamžiku, když se nepodaří certifikát v té první řadě obnovit.

Stejne tak acme, ktery umi 0.00prd SW.
To je problém toho softwaru.

A to vubec nemluvim o tom, ze blbsi napad si fakt nemoh mit, protoze to znamena leda tak zdesetinasobeni pruseru kolem.
Tak určitě. Pokud vám pořád něco nefunguje, zatímco všem okolo to funguje, možná nebude problém v tom všem okolo.

Nula nemusi byt uplne pravdiva :-) Treba nginx nebo postfix oficialne umi soubezne RSA i ECDSA. A kdyz zminujete ACME, tak zrovna zmineny nginx na to ma i modul, a zvladne to treba i ejabberd.

A certifikát s dlouhou platností řeší problém obnovy? Nikdy jste se nepotkal s exspirovaným ročním certifikátem?

Z mého pohledu naopak. Dlouhá platnost spíš způsobí, že se na to zapomene nebo někde nějaký mechanismus selže a naopak krátká platnost certifikátů donutí správce obnovu automatizovat a doufejme i monitorovat. Což by reálně mělo vést spíš k tomu, že těch problémů bude ubývat spíš než přibývat.

Mimochodem, těch vašich zmíněných 1589897 certifikátů fakt obnovujete ručně a nemáte nijak monitorovanou exspiraci a vše si držíte v hlavě?