Názory k článku
Let's Encrypt nasadí trvalé validační DNS záznamy do poloviny letošního roku

Skvělé. ;-)

To brzo. Nami vyuzivana CA zrusila sluzbu poskytovani placenych certifikatu ke konci unora z duvodu snizeni zivotnosti certifikatu.

Kdyz uz nuti kdekoho do te silene automatizace, tak uz mohli rovnou to udelat jednoduse a nacpat nejaky klic primo do dns misto veskere komplexity certifikatu.

Kazdopadne, jestli to umozni, aby u hostovanych domen byl mozny trvaly zaznam v zakaznickem dns, takze by nebylo nutno delat validaci pres HTTP-01, tak by to bylo aspon krok kupredu.

19. 2. 2026, 11:12 editováno autorem komentáře

DANE už existuje dlouho, ale... prohlížeče o to nestojí.

DANE zavisi na dnssec ne? Se pak nedivim, ze se do toho nikdo nehrne.

Oficiálně závisí, technicky nic nebrání použít DANE i bez validace, ale věřit klíči, který vám mohl poslat kdokoli, je tak trochu k ničemu. To už můžete prostě rovnou věřit, že tam žádný MitM není. Cokoli, co bude splňovat vaše „nacpat nějaký klíč přímo do DNS”, bude pro rozumné fungování vyžadovat DNSSEC (bavíme-li se o současném světě).

Pokud neveris mr jirsak dns, tak proc sem leze? Dnssec je naprosto nefulkcni rozbita vec a navic je to mrtvola, kterou nikdo nikdy pouzivat nebude. Oni totiz spravci domen doslova milujou povoleny xfr ... coz je presne to, co jen za 100x vyssi cenu dela prave dnssec.

Klíč v DNS existuje, třeba ECH klíč v HTTPS nebo hash klíče v TLSA.
Je závislý na validaci DNSSECem.
Když browser nedostane HTTPS RR přes DoH, ignoruje jej a nebo se na něj ani neptá.

Že jsem si ten článek nepřečetl hned ráno. Celý den jsem dělal na automatizaci s DNS ověřováním a lokální distribucí – a pak tohle.
Máme dva wildcard certifikáty od RapidSSL pro interní i externí systémy. Platnost byla nejdřív tři roky, pak dva, potom jeden. A teď vyhrožují 47 dny a tím, že bez automatizace se to neobejde.
No… automatizaci mám. Takže se klidně obejdu i bez RapidSSL. Doba platnosti byla doposud jejich hlavní výhoda. Nic víc.

Co vlastně bránilo tomu udělat to takhle už od začátku?

Ono ani samotne accountUri (ktere se v tom DNS zaznamu objevuje) neni ve specifikacich ACME od prvniho dne. Proste to driv nikoho nenapadlo... :)

Nic, ale nebylo by to dostatecne frikulinsky. Totiz ten zaznam v dns je vpodstate klic, a ted ti tvrdej, ze to ze jeho platnost bude naveky ... najednou nevadi. Navic to jednoznacne identifikuje nejakej ucet, a muzes podle toho snadno vysmirovat, ktery domeny pouzivaji stejnej = maji nejspis stejnyho spravce (zcehoz se da usuzovat na dalsi hezky veci) ... coz predtim jaksi neslo.

Jako bonus, pokud se dostanes k tomu uctu, snadno najdes domeny, ktery muzes ukrast ... to je dalsi nova ficura kterouy bylo treba zavist.

Konečně...

Tak uvidíme.
Kdysi šlo mít certifikát vystavený na hostname, který měl v DNS veřejnou i veřejnou adresu, ale to pak přestalo fungovat. Pokud mi tohle umožní vrátit tento stav, trochu se mi to zjednoduší.

IP adresa uz davno neni povazovana jako bezpecny identifikator.

Napsal jsem to blbě, mělo být "veřejnou i neveřejnou adresu" (automatické opravy?).
Chci certifikát na host.domena.cz který má v DNS 2001:2345:678­9:1234::200 a zároveň 192.168.0.200.
To druhé tam (teď) mít nemůžu, takže i interní komunikace nutně musí jít přes IPv6. No, ona většinou jde, takže to zase takový problém není.

21. 2. 2026, 16:10 editováno autorem komentáře

A proc v danem use-case vubec pristupovat na IP adresu, kdyz muzu mit v DNS hostname? :-) A vlastne mi je pak i fuk, pres jakou address-family ten provoz realne jde. U privatni IP beztak neni jak overit, ze jste "verohodnym" uzivatelem - a kdyby si takovy mohl vystavit kdokoliv, pak by to beztak z pohledu bezpecnosti nemelo prece zadny smysl...

Tu IP adresu máte v DNS nebo v certifikátu? Pokud v DNS, nic vám nebrání vystavit si na ten DNS název certifikát už teď – s validací přes DNS. Pokud tu IP adresu chcete mít v certifikátu, nijak to nesouvisí s DNS a žádná normální autorita vám takový certifikát nevydá ani dříve ani v budoucnu. Protože neprokážete, že IP adresa 192.168.0.200 je výhradně vaše (protože není).

No protože mám třeba NAS (Synology ku příkladu). Ten má veřejnou IPv6 a IPv4 ne, protože DSLite u exUPC.
Ano, přes DNS můžu ten certifikát získat, i když tam kromě veřejné IPv6 je i neveřejná IPv4 - ale každé 2 měsíce to musím ručně řešit. Tak proto.
Další use-case může být třeba DC v Active Directory nebo Windows server s IPP(S) tiskem - win-acme funguje pěkně, ale zase, musíte to mít na veřejných adresách a to možná nechcete. A bez certifikátu komunikujete s LDAP nebo print serverem otevřeně, to nechcete, nebo si zřídíte vlastní CA, kterou ale zase musíte nacpat jako důvěryhodnou do všech klientů, včetně mobilních.
A další: máte síť za NATem a chcete certifikát pro více než jeden server - to ale přes NAT neprocedíte, protože s ACME musíte použít port 80 a ten máte jen jeden.
ACME přes DNS vyžaduje změnit challenge, ale dělat to programově, když máte zónu podepsanou DNSSEC není úplně snadné, pokud váš poskytovatel DNS vůbec API poskytuje (pro SOHO segment většinou primární DNS nemáte vlastní už kvůli glue záznamu, který by přestal platit při změně IP adresy od ISP).