Názory k článku
DigiCert mění CDN a vypíná podporu IPv6

To je vtipna tragedie. Kazdopadne dle redditu to zrejme souvisi s krachem Edgio.

[code]
They seem to be migrating from Limelight/Edgio to Akamai. Akamai now enables IPv6 by default. What exactly would they need to configure extra, comparing to what do they have now?
[/code]

Ten komentar jsem na Reddit psal ja.
Dogooglil jsem se jeste k Digicerti strance, kde tvrdi, ze podporu IPv6 *museli* ("must") vypnout. To uz je cira marketingova lez.

absolutní ukázka stavu IPv6 v roce 2025

Ne, ukazka toho jak nekdo vybira dodavatele. Obycejny projev neschopnosti :-)

Já třeba provozuju některé servery bez podpory IPv4. Je to absolutní ukázka stavu IPv4 v roce 2025?

jestli se stavíš na úroveň DigiCert...

@Petr Krčmář: A dual stack v Kubernetes taky funguje vždy a všude a za všech okolností?

8. 1. 2025, 21:29 editováno autorem komentáře

Dual-stack v aktualnich verzich Kubernetes funguje. Ovsem Kubernetes jsou jen orchestrator: jestli budete mit v podech IPv4, IPv6, nebo dual-stack, zalezi na pouzitem CNI a infrastrukture, kde K8s provozujete (managed kubernetes a "cloudove" sluzby obecne kulhaji na obe nohy, cest vyjimkam).

Podle Google (https://www.google.com/intl/en/ipv6/statistics.html#tab=ipv6-adoption) je IPv6 na ~43 % je pravda, že to je počet uživatelů, kteří mají IPv6 nikoliv těch kteří mají "jen" IPv6, ale takto ignorovat IPv6 s tím, že IPv4 stačí... mi přijde v dnešní době pro certifikční autoritu naprosto špatné rozhodnutí.

Pro mě teda DigiCert nepůsobí moc důvěryhodně po téhle změně. Už jenom to, že mají CDN u někoho, kdo nepodporuje IPv4, něco o nich říká.

Taky jsme podporu IPv6 dočasně vypnuli, provoz neklesl ani o procento, nikdo si nestěžoval a už je to vypnuté dva roky :-D

Takovéhle umělce fakt miluji, pak je nutnost něco s IPv6 fakt udělat a vůbec netuší. Naposledy jsem v jednom německém korporátu řešil, že ve Windows politice někdo vypnul IPv6 na všech strojích, nikdo netušil proč to někdo vypnul a jak to zapnout.

A proč by to kdo v korporátu zapínal ?

Protoze tomu narozdil od tebe rozumi, a nechce treba resit kolize IPcek na VPNkach. Vsechny VPNky co provozuju ja jsou IPv6 only.

"někdo vypnul IPv6 na všech strojích, nikdo netušil proč"
M$ vydal záplatu, která rozbila komunikaci po síti.
Nejsnadnějším řešením bylo vypnout IPv6.
Další měsíc to M$ opravil. Ale IPv6 už nikdo nezapnul.
Je to už tak asi 20 let.

10. 1. 2025, 13:22 editováno autorem komentáře

Vypnutí IPv6 na serveru samozřejmě traffic nezmenší, protože koncový klienti IPv6-ONLY z principu nejsou. To je tak nějak očekávané a není potřeba se tím chlubit.

Bylo by dobré si uvědomit, že tím házíš klacky pod nohy lidem co mají IPv6-ONLY servery, jelikož nechtějí extra připlácet za IPv4 nebo stavět infrastrukturu na jedné proxy.

Ještě bych se rád podělil, že mít server veřejné služby pouze na IPv6 je absolutní zjednodušení. Žádný U-turn NAT, žádný port forwarding, žádné odlišné interní DNS záznamy, žádný interní DNS server, prostě se povolí port a IP dané služby na firewallu a hotovo.
Nemyslím tím, interní služby s interní CA, aby zas někdo nerejpal.

9. 1. 2025, 08:05 editováno autorem komentáře

Plus tam nemas 2x firewall, s tim ze ten na v4 je nejmi 3x delsi (a tudiz taky 3x pomalejsi), prave proto ze na nem musis resit NAty ...

Neresis zadny problemy na tema ze se to chova ruzne podle toho z jake rite a kterym smerem do toho kdo leze atd atd.

Z čeho vůbec tyhle certifikační autority žijou? Co mi nabízí navíc abych si koupil certifikát od nich, když můžu mít od let's encrypt zadarmo?

Staré smlouvy. Neschopnost automatizovat obnovování certifikátů pomocí ACME.

Vydávají i jiné certifikáty, než doménové (třeba osobní nebo pro firmy). Někde se nehodí ta krátká platnost certifikátu, protože to nejde pořádně zautomatizovat (resp. bylo by to drahé). Můžete mít privátní klíč uložen třeba v HSM nebo na čipové kartě. Někde je to implementováno tak, že se ověřuje konkrétní klíč nebo certifikát, takže při výměně certifikátu ho musíte někam zaregistrovat. A někdy můžete mít dokonce s účtem spojen jeden certifikát, takže výměna se nutně neobejde bez výpadku. Takže to nechcete dělat každá dva měsíce ale jen každé dva roky.
Pak ty autority obvykle poskytují další služby – časová razítka, vzdálené podpisy a pečetění…

Zrovna klic v HSM (ci cipove karte) fakt zadna prekazka pro zmenu CA neni. Proste si normalne vygenerujete CSR, ktery poslete jine CA... technicky nic nebrani pouziti HSM ani primo s LE certifikaty.

Problem s automatizaci zpusobuji hlavne nevhodne navrzene aplikace, kdy typicky jejich autori/dodavatel vcelku zamerne... aby zajistili svou "nepostradatel­nost". Drahe je naopak to jejich vymysleni kurvitek...

Zrovna klic v HSM (ci cipove karte) fakt zadna prekazka pro zmenu CA neni.
Proč mi to píšete? Já jsem nikde nepsal, že je to překážka pro změnu CA.

Proste si normalne vygenerujete CSR, ktery poslete jine CA...
Jenže Let's Encrypt má tříměsíční platnost certifikátů. Takže to vaše „vygenerujete CSR, které pošlete CA“, musíte dělat častěji než jednou za tři měsíce.

technicky nic nebrani pouziti HSM ani primo s LE certifikaty.
Jo jo, protože na trhu je milion HSM s podporou ACME protokolu.

Ze to musite delat jednou za 3 nebo 12 nebo 36 mesicu je ve finale fuk. Nic to nemeni, ze nekteri vyvojari jsou dobytci, co kvuli tvorbe nesmyslu zajistujicich jejich "nepostradatelnost" ty certifikaty hardcoduji do svych aplikaci tak, ze je vzdycky problem je vymenit. Reseni je jednoduche... nebudte prasatko, pan programator! :-)

No, zkuste provozovat czechpoint s ACME, následuje peklo :-)

Pronajimas si nekde nejaky web, a jeho pronajimatel ti typicky odmita na teb web dat cert od LE, protoze provozuje kamaradsoft prave s nejakou placenoou CA. Napriklad (vidim to kolem sebe ve stovkach pripadu).

Spousta menezeeruu ... si pak porad mysli, ze kdyz je to zadarmo, je to nejak horsi nez kdyz je to za penize ...

Tuhle jsme řešili certifikát pro odcházející server. Než bych platil hodinu nebo dvě interního člověka, aby tam ACME zpovoznil, raději zplatím nový ceritifkát z CA vyjde to levněji.

Další už nebudu řešit, Doufám, do roka to snad zmigrujeme jinam a na nový server už ACME nejspíš dáme, pokud teda nepřejdeme na SaaS.