Názory k článku
Let's Encrypt nasadí trvalé validační DNS záznamy do poloviny letošního roku

Skvělé. ;-)

To brzo. Nami vyuzivana CA zrusila sluzbu poskytovani placenych certifikatu ke konci unora z duvodu snizeni zivotnosti certifikatu.

Kdyz uz nuti kdekoho do te silene automatizace, tak uz mohli rovnou to udelat jednoduse a nacpat nejaky klic primo do dns misto veskere komplexity certifikatu.

Kazdopadne, jestli to umozni, aby u hostovanych domen byl mozny trvaly zaznam v zakaznickem dns, takze by nebylo nutno delat validaci pres HTTP-01, tak by to bylo aspon krok kupredu.

19. 2. 2026, 11:12 editováno autorem komentáře

DANE už existuje dlouho, ale... prohlížeče o to nestojí.

DANE zavisi na dnssec ne? Se pak nedivim, ze se do toho nikdo nehrne.

Oficiálně závisí, technicky nic nebrání použít DANE i bez validace, ale věřit klíči, který vám mohl poslat kdokoli, je tak trochu k ničemu. To už můžete prostě rovnou věřit, že tam žádný MitM není. Cokoli, co bude splňovat vaše „nacpat nějaký klíč přímo do DNS”, bude pro rozumné fungování vyžadovat DNSSEC (bavíme-li se o současném světě).

Pokud neveris mr jirsak dns, tak proc sem leze? Dnssec je naprosto nefulkcni rozbita vec a navic je to mrtvola, kterou nikdo nikdy pouzivat nebude. Oni totiz spravci domen doslova milujou povoleny xfr ... coz je presne to, co jen za 100x vyssi cenu dela prave dnssec.

Klíč v DNS existuje, třeba ECH klíč v HTTPS nebo hash klíče v TLSA.
Je závislý na validaci DNSSECem.
Když browser nedostane HTTPS RR přes DoH, ignoruje jej a nebo se na něj ani neptá.

Že jsem si ten článek nepřečetl hned ráno. Celý den jsem dělal na automatizaci s DNS ověřováním a lokální distribucí – a pak tohle.
Máme dva wildcard certifikáty od RapidSSL pro interní i externí systémy. Platnost byla nejdřív tři roky, pak dva, potom jeden. A teď vyhrožují 47 dny a tím, že bez automatizace se to neobejde.
No… automatizaci mám. Takže se klidně obejdu i bez RapidSSL. Doba platnosti byla doposud jejich hlavní výhoda. Nic víc.

Co vlastně bránilo tomu udělat to takhle už od začátku?

Ono ani samotne accountUri (ktere se v tom DNS zaznamu objevuje) neni ve specifikacich ACME od prvniho dne. Proste to driv nikoho nenapadlo... :)

Nic, ale nebylo by to dostatecne frikulinsky. Totiz ten zaznam v dns je vpodstate klic, a ted ti tvrdej, ze to ze jeho platnost bude naveky ... najednou nevadi. Navic to jednoznacne identifikuje nejakej ucet, a muzes podle toho snadno vysmirovat, ktery domeny pouzivaji stejnej = maji nejspis stejnyho spravce (zcehoz se da usuzovat na dalsi hezky veci) ... coz predtim jaksi neslo.

Jako bonus, pokud se dostanes k tomu uctu, snadno najdes domeny, ktery muzes ukrast ... to je dalsi nova ficura kterouy bylo treba zavist.