Hlavní navigace

Názor ke zprávičce Let's Encrypt nakonec revokoval jen 1,7 milionů certifikátů od Filip Jirsák - Stačilo v době, kdy LE mělo chybu, mít...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 6. 3. 2020 22:56

    Filip Jirsák

    Stačilo v době, kdy LE mělo chybu, mít nastavené CAA jinam
    Nestačilo.

    Při kompromitaci bezpečnosti není úvahovým postupem dokazovat, že ke kompromitaci skutečně došlo, ale s jistotou vyvrátit že k ní dojít nemohlo.
    S jistotou to nevíte nikdy. A já bych v tomto případě rozhodnutí nechal na držiteli domény. Pokud CAA nastavil zpět na LE, považoval bych to za dostatečný důkaz, že LE důvěřuje a že mu nevadí certifikát na doménu vystavený LE.

    Když selhala funkce ověření CAA, mohlo to způsobit kompromitaci a z toho je jediným vyústěním revokace.
    Nikoli, dalším vyústěním je například zpětné schválení certifikační autority.