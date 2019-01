Certifikáty se samozřejmě objevují v databázích Certificate Transparency, jinak by už dnes nebyly považovány za důvěryhodné . Autorita je automaticky přidává do logů Google Skydiver a Comodo Sabre. Záznamy si můžete prohlédnout například na Crt.sh nebo Censys.io .

Autorita má na svém webu stránku se základními technickými parametry . To podstatné je, že ACME server sídlí na adrese https://api.buypass.com/acme/directory . Při generování certifikátu je potřeba tuto adresu klientovi předat, obvykle parametrem --server . Výsledný požadavek tak bude vypadat například takto:

Služba se jmenuje Buypass Go SSL a nabízí zdarma certifikáty s dobou platnosti 180 dnů. Má vlastní kořenovou certifikační autoritu Buypass Class 2 Root CA , která je široce rozšířená a důvěryhodná napříč aplikacemi. Koncové DV certifikáty pak vydává mezilehlá autorita Buypass Class 2 CA 5 .

Pro uživatele je velkou výhodou to, že existuje celá řada hotových nástrojů v mnoha jazycích běžící na řadě platforem. O některých z nich jsme už psali: ACME.sh , Dehydrated , Caddy nebo modul přímo do Apache . Pokud tedy protokol ACME nasadí další autority, bude přechod k nim velmi snadný. Stačí jen pomocí konfigurační volby nasměrovat komunikaci na jinou autoritu.

Přestože je protokol navržen naprosto univerzálně a obsahuje i podporu pro placené uživatelské účty, ostatní certifikační autority se do jeho nasazování nijak zvlášť nehrnuly. Teprve nyní se zřejmě dostáváme do fáze, kdy se budeme s protokolem ACME setkávat i jinde.

Má to ale i svá úskalí: Let's Encrypt se stal středobodem pro DV certifikáty a jakmile by se s ním něco stalo, měla by řada správců velký problém. Závislost na jednom podobném subjektu je velmi nebezpečná z mnoha důvodů. Přestože je protokol ACME navržen otevřeně a univerzálně, ostatní autority se do něj příliš nehrnou.

Vlastnosti a omezení certifikátů

Jak jsme si už řekli, certifikáty vydané autoritou Buypass mají platnost 180 dnů. Tedy dvakrát delší než je tomu u Let's Encrypt. To lze díky automatizaci jen těžko považovat za nějakou dramatickou výhodu, prostě se proces obnovování pouští méně častěji. Mimochodem, současná maximální doba platnosti certifikátů je 825 dnů a tato hranice se bude pravděpodobně postupně dále zkracovat.

Limit je 20 certifikátů v jedné doméně vytvořených za týden. Autorita vychází ze seznamu veřejných suffixů, ve kterých je možné si zaregistrovat subdoménu. Pokud tedy máte doménu example.com , můžete si každý týden nechat vygenerovat samostatné certifikáty pro www.example.com , blog.example.com , data.example.com a tak dále až do limitu.

Za týden je možné vytvořit 5 duplicitních certifikátů pro stejnou sadu domén. Zároveň je možné mít až 5 neplatných validací za jednu hodinu pro jedno doménové jméno a uživatelský účet. Pak jsou tu další limity, na které při běžném provozu nenarazíte: 300 souběžných autorizací na jednom uživatelském účtu a maximálně 20 požadavků za sekundu.

Nevýhody a problémy

Nic není tak horké, jak se upeče. Tak i autorita Buypass má svá omezení a nevýhody. Tou hlavní je, že autorita dovoluje do certifikátu vložit nejvýše dvě doménová jména a ještě ne libovolná. Vypadá to, že je povolena pouze varianta bez www a s ním, pravidla pro to ale nejsou příliš jasná. Pokud zkusíte nepovolenou variantu, dozvíte se:

Sign failed: "detail":"Requested combination of domains is not allowed"

Autorita také nepodporuje IPv6, takže pokud máte například síťové prvky jen s veřejnou IPv6 adresou, certifikát si na nich nevygenerujete. Omezení budete muset obcházet například pomocí validace v DNS z jiného serveru.

Co je horší je fakt, že autorita nevaliduje DNSSEC, takže jí nevadí chybně podepsaný nebo nepodepsaný DNS záznam porušující řetězec důvěry. Naopak správně validuje CAA záznam, takže si dejte pozor při výměně autorit. Správný záznam vypadá takto:

example.com. CAA 0 issue "buypass.com"

Bohužel ještě ke všemu výše uvedené vlastnosti nejsou nikde dokumentovány, autorita je vůbec velmi skoupá na informace. Doufejme, že se to časem zlepší. Do té doby sice může sloužit jako záloha k Let's Encrypt, ale opravdu jen jako nouzová.