Vlákno názorů k článku
Let's Encrypt nevytlačil ze státní správy komerční certifikáty
od K> - Jo to mi povidejte. V nasi instituci jsou...
-
Jo to mi povidejte. V nasi instituci jsou ajtaci tak dokonali, ze si plati firmu, ktera koupi certifikat od jine firmy.
Navic jsou tak dokonali, ze zvorou i tu vymenu certifikatu jednou za pul roku a uz se mi stalo ze muj emailovy klient hlasil podezreni na utok, protoze novy cerifikat emailoveho serveru byl psany ne na nasi firmu, ale na tu firmu co nam certifikat preprodava. Za 5 hodin to opravili, aniz by cokoliv dali komukoliv vedet. Tou dobou to uz samozrejme v outlooku vetsina uzivatelu odklikla jako ze souhlasi, aniz by si tu hlasku precetli. -
Stejně ve školství. Dodáváme nějaké technologie do škol, většina kontaktu s IT je právě kvůli jejich certifikátům. Je tam odpor k automatizaci, freewarové [sic] let's encrypt je určitě podvod, certifikát koupený od geantu je bezpečnější (přestože mají i privátní klíč a posílají jim ho mailem) a vydrží delší dobu, každý rok v jiném formátu, atd :D
-
DannyStříbrný podporovatelUz jen z letmeho pohledu do certificate transparency logu je zrejme, ze to neni systemovy problem - tech LE certu tam i na skoly najdete hromadu, ale spis je to v konkretnich lidech na konkretnich mistech - asi stejne jak u te statni spravy. Nekde vam holt drepi ten sedesat+letej ajtak, co se to nejak pred roky naucil a nehodla na svych postupech zhola nic menit. Je to o lidech. I zde na rootu najdete po diskuzich "linuxaky ze skol". Takze kdyz se chce....
-
Ono by to stačilo napsat normálně a slušně. Kolik vám je, že nedokážete napsat normální větu, aniž byste se snažil někoho urazit? Buďte v klidu, nikdo vám nechce ublížit. Chceme jen normálně diskutovat k věci.
Zajímal by mě příklad nějakého úřadu, který má vlastní veřejnou mezilehlou autoritu odvozenou od veřejně důvěryhodného kořenového certifikátu. Tedy mezilehlý certifikát vystavený třeba na nějaké ministerstvo, které si pak může samo vystavovat libovolné koncové certifikáty. Nebo něco nechápu a potřebuju to tedy rozumně vysvětlit. Díky
-
JIsteze a ten post vejs a pod je zcela vporadku mam sem poslat odkazy na 100+ dalsich? To je zvlastni ze?
CA vubec nemusi byt verejna, mam proces, mam nejakeho dodavatele. Naprosto nepochopitelne je, ze stejny proces aplikuju vsude ze?
Ano, nejlepsi je mit 150 dodavatelu na kazdou vec a mit 150 procesu a ani jeden pak nefunguje. Vsak se kazdy muze presvedcit kolem.
-
Samozřejmě, že CA nemusí být veřejná, to je úplně v pořádku. Takových režimů může být samozřejmě celá řada a vždy záleží na konkrétním použití. Ale tady je celou dobu řeč o veřejném PKI postaveném na veřejných autoritách, kterým důvěřují nástroje u koncových uživatelů. V takovém režimu se skutečně běžně mezilehlé certifikáty zákazníkům nevydávají.
-
DannyStříbrný podporovatel
Koukam, ze pejska ad hominem utoky stale bavi :-) O tom, o cem ja (ne)mam paru ale vite kulovy. Kolik tech takto vydanych certifikatu je skutecne mezilehlych certifikatu s moznosti vydavat certifikaty dalsi, hmmm...? :-) Vetsina jich takovych neni.
Ten typek z Alpiro @Lupa mj. viditelne spojuje ACME s LE, coz je samo o sobe blabol. ACME je standardizovany protokol, ktery podporuje vicero CA, vc. tech komercnich. Pritom ani to Alpiro nabizi jen wildcard a nebo s vicero alt-name, coz ale jaksi neni ten vas "mezilehly", zeano.
-
DannyStříbrný podporovatel
V IT obecne je potreba mit schopnost se neustale ucit a umet aplikovat moderni technologie. Ti, o ktere se otiram tuhle schopnost postradaji. A minimalne v me socialni bubline prevladaji ti, kteri se ucit moc nechteji, nejak se to snazi doklepat do penze a hlavne se u toho hlavne moc nepredrit, takze nic noveho se ucit nechteji, naopak vymysli tisic a jeden duvod, prod pri zivote drzet cosi obskurdniho. Ano, znam i par starsich moudrych panu v oboru, kteri maji mysl otevrenou... ale je jich malo.
-
Na druhou stranu já potkávám hodně mladých, kteří hlavně potřebují
mít tu správnou položku v CV, aby příští práce byla ještě lepší
, pro které je vrcholem správnosti, když si vzpomenou, co jim tistaří dědci
přednášeli na škole.
Taky znám dostčekatelů na důchod
, ale tak nějak se pohybuji v generaci těch, kteřímají mládí pryč a do důchodu daleko
, ale vědí, že je potřeba se pořád dovzdělávat, učit se novinky - aby uchránili systémy před nápadykindermanagementu
. ;o) -
Kupříkladu mladí absolventi privátní VŠ, kteří se rychle tlačí do rozhodujících pozic, kde pak na IT kladou (v non-IT firmě!) požadavky typu:
Musíme mít nejlepší AI v oboru, abychom oslovili naše zákazníky, implementujte to! Rozpočet máte vysoký, ostatní projekty jdou stranou!
- což vydrží přesně do dalšího buzzwordu, který do těch ekonomicko-managementských pater korporátu dorazí.
Jak se někde objeví nová hračka, musí si s ní pohrát. Úplně, jako děti ve školce. ;o) -
Tak u toho placení firmy na nákup certifikátu je otázka, jestli je to výmysl ajťáků nebo důsledek korporátní politiky, kdy zaplatit to nejde jinak, než fakturou s půlroční splatností, schvaluje to 150 lidí, takže se to taky může protáhnout na měsíce (a většina vyžadatelů nedá certifikát před zaplacením) a vyžaduje se k tomu dalších 100 byrokratických nesmyslů. Pak se celkem nedivím, že to radši koupí od někoho dalšího, kdo sbírá bakšiš na tom, že trpí tyhle byrokratické průtahy a může to koupit sám kreditkou :-)
-
Jsem mel za to ze se bavime o certificatech Let's Encrypt, ktere jsou zdarma?
A neni to tak, nakup jde v nasi instituci vyridit za 2 dny (nez si vsimne manazer jedna ze ma neco podepsat, a nez si vsimne druhy, pripadne kdyz za nima zajdu tak je to do 5 minut), a pravidelne opakovane nakupy neni potreba opakovane schvalovat. -
Aha, já z věty, že to koupí od firmy co koupí certifikáty pochopil, že používají nějaké komerční placené (ne let's encrypt).
No, u mě ten nákup něčeho takového od někoho cizího je hromada psaní všude možně, vysvětlování, ... kdybych byl nucen kupovat komerční certifikáty, tak to snad taky radši vezmu s marží od někoho, kdo napíše, že to byl balík stahovacích pásek. Takže díky bohu za let's encrypt, že je o další věc méně, kterou je potřeba objednávat... Teda, většinou. Už mi sem přišla jednou jedna firma s tím, že se stará o nějaké MS řešení, že tam LE certifikát dávat nebudou, protože má platnost jenom 3 měsíce a že vyměnit ten certifikát za nový je práce na 3 dny :-)
-
BobTheBuilderStříbrný podporovatelLE certifikát mám na Windows serveru a je na to free appka, která to nainstaluje a mění, v IIS i všude a zařídí si to - IIS není podmínkou. Zkrátka ACME script, akorát že ve Windows by to s tím, jako skriptem, moc nešlo, tak je to appka běžící jako service (teď za to nedám ruku do ohně, možná se spouští přes plánovač úloh).
28. 2. 2025, 08:38 editováno autorem komentáře
-
Ano, nas institut kupuje komercni certifikaty od nejakeho preprodejce certifikatu.
A ja zase z tohoto: "nebo důsledek korporátní politiky, kdy zaplatit to nejde jinak...a vyžaduje se k tomu dalších 100 byrokratických nesmyslů" pochopil ze si myslis ze v nasem institutu je problem s nejakou extra byrokracii. Coz rozhodne neni. Teda neni v cenove hladine certifikatu, kdyby staly o 3 rady vic tak je to samozrejme hromada extra byrokracie a vysvetlovani. Ale nakup za par tisic neni problem ani od zahranicni firmy. Nejaka uctarka bude brblat, ale to brblaji vzdycky kdyz se jim objevi prace. -
DannyStříbrný podporovatel
Jasne, koupime si drahou "krabici" a to nam bezpecnost magicky samo vyresi.... akorat ze vubec :-)
