Vlákno názorů k článku
DigiCert mění CDN a vypíná podporu IPv6
od Vladki - Z čeho vůbec tyhle certifikační autority žijou? Co...
-
VladkiStříbrný podporovatelZ čeho vůbec tyhle certifikační autority žijou? Co mi nabízí navíc abych si koupil certifikát od nich, když můžu mít od let's encrypt zadarmo?
-
Filip JirsákStříbrný podporovatelVydávají i jiné certifikáty, než doménové (třeba osobní nebo pro firmy). Někde se nehodí ta krátká platnost certifikátu, protože to nejde pořádně zautomatizovat (resp. bylo by to drahé). Můžete mít privátní klíč uložen třeba v HSM nebo na čipové kartě. Někde je to implementováno tak, že se ověřuje konkrétní klíč nebo certifikát, takže při výměně certifikátu ho musíte někam zaregistrovat. A někdy můžete mít dokonce s účtem spojen jeden certifikát, takže výměna se nutně neobejde bez výpadku. Takže to nechcete dělat každá dva měsíce ale jen každé dva roky.
Pak ty autority obvykle poskytují další služby – časová razítka, vzdálené podpisy a pečetění… -
DannyStříbrný podporovatelZrovna klic v HSM (ci cipove karte) fakt zadna prekazka pro zmenu CA neni. Proste si normalne vygenerujete CSR, ktery poslete jine CA... technicky nic nebrani pouziti HSM ani primo s LE certifikaty.
Problem s automatizaci zpusobuji hlavne nevhodne navrzene aplikace, kdy typicky jejich autori/dodavatel vcelku zamerne... aby zajistili svou "nepostradatelnost". Drahe je naopak to jejich vymysleni kurvitek...
-
Filip JirsákStříbrný podporovatel
Zrovna klic v HSM (ci cipove karte) fakt zadna prekazka pro zmenu CA neni.
Proč mi to píšete? Já jsem nikde nepsal, že je to překážka pro změnu CA.Proste si normalne vygenerujete CSR, ktery poslete jine CA...
Jenže Let's Encrypt má tříměsíční platnost certifikátů. Takže to vaše „vygenerujete CSR, které pošlete CA“, musíte dělat častěji než jednou za tři měsíce.technicky nic nebrani pouziti HSM ani primo s LE certifikaty.
Jo jo, protože na trhu je milion HSM s podporou ACME protokolu. -
DannyStříbrný podporovatel
Ze to musite delat jednou za 3 nebo 12 nebo 36 mesicu je ve finale fuk. Nic to nemeni, ze nekteri vyvojari jsou dobytci, co kvuli tvorbe nesmyslu zajistujicich jejich "nepostradatelnost" ty certifikaty hardcoduji do svych aplikaci tak, ze je vzdycky problem je vymenit. Reseni je jednoduche... nebudte prasatko, pan programator! :-)
-
Filip JirsákStříbrný podporovatel
Ze to musite delat jednou za 3 nebo 12 nebo 36 mesicu je ve finale fuk.
Není. Je to podstatný důvod, proč někde u DV certifikátů nepřecházet na LE. -
Filip JirsákStříbrný podporovatel
Vaše osobní traumata tady v diskusi nevyřešíte, doporučuji vyhledat odbornou pomoc.
-
DannyStříbrný podporovatel
To je bezezbytku aplikovatelne i na vas ;-) Aneb certifikaty s kratkou dobou platnosti za vase traumata nemuzou.
-
Pronajimas si nekde nejaky web, a jeho pronajimatel ti typicky odmita na teb web dat cert od LE, protoze provozuje kamaradsoft prave s nejakou placenoou CA. Napriklad (vidim to kolem sebe ve stovkach pripadu).
Spousta menezeeruu ... si pak porad mysli, ze kdyz je to zadarmo, je to nejak horsi nez kdyz je to za penize ...
-
Tuhle jsme řešili certifikát pro odcházející server. Než bych platil hodinu nebo dvě interního člověka, aby tam ACME zpovoznil, raději zplatím nový ceritifkát z CA vyjde to levněji.
Další už nebudu řešit, Doufám, do roka to snad zmigrujeme jinam a na nový server už ACME nejspíš dáme, pokud teda nepřejdeme na SaaS.
