Vlákno názorů k článku Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok od czechsys - Co interni CA? Jinak tohle je pekny problem, menit...

Co interni CA?

Jinak tohle je pekny problem, menit rucne crt je otravna prace (csr+overeni+vymena na serveru). Pokud nekdo rekne neco o LE, fajn, to je sice reseni, ale neresi servery nepristupne z internetu napr. za proxy, navic neresi funkcnost s automatizaci konfiguraci.

vlastní CA i dnes prohlížeče akceptují a neřeší u nich délku certifikátu, máme takhle testovací na 20 let. Předpokládám, že to zůstane.

LE a ACME není jediná cesta, existuje celá řada nástrojů pro vydávání a podepisování certifikátů (mrkni třeba na certnanny) vč. jejich distribuce, to mimochodem umí i LE a vydáváme s nim certifikáty na servery, které nejsou na internetu (je možné třeba pro ně někam tu konfiguraci generovat, připravil yum balíček nebo připravit soubory, které ručně admin nahraje).

Díky za certnanny :)

Vlastne CA prehliadace akceptuju, ale riesia u nich dlzku platnosti certifikatu rovnako, ako u verejnych.

Mame 10-rocne certifikaty v Intel AMT: Firefox ho oznaci za neplatny, ale po upozorneni sa da pokracovat. Chrome ho oznaci tiez za neplatny, preklikat sa neda a treba poznat tajny hmat, ako ho presvedcit, aby pokracoval ("thisisunsafe").

Vymena cerifikatov v AMT je dobra pakaren; nie je to ziadne "spustime acme.sh a on sa postara". Preto mame certifikaty dlhsie, ako je ocakavana zivotnost zariadenia.

Svůj domácí server, který není přístupný z netu, plánuju řešit přes API Active24 a txt záznamy. Přijde mi to docela v pohodě řešení. V nějakém větším nasazení by asi nebyl problém mít service která ty certifikáty stahuje a distribuuje nějakým zabezpečeným kanálem.

Ono to jako problem nevypada. Ale ve chvili, kdy to nekdo zkusi implementovat, narazi na vsemozne pozadavky - ruzny typy crt, nektere sluzby nepodporuji reload, robustnost, pristup do vlastniho dns, atd...

Kdybych mel infrastrukturu na puppet atd, tak je to jednodussi. Ale infra mam na ansible, coz dela zmenu crt slozitejsi.

Navic predstava, ze kazdy rok budeme uhanet zakaznika, co si crt porizuje sam, je taky nehezka.

Puvodne tohle resilo nastavene dns na jeden server, ktery certifikaty posbiral a pak prerozdelil. dneska to inteligentne resime, pres DNS challenge.