Vlákno názorů k článku
Let's Encrypt nevytlačil ze státní správy komerční certifikáty od Heron - Let's Encrypt nevytlačil ze státní správy komerční certifikáty A...

Let's Encrypt nevytlačil ze státní správy komerční certifikáty

A to byl jeho cíl?

Já nevím, já LE považuju za CA pro malé soukromé projekty, ale od vážené firmy fakt tak nějak očekávám, že bude mít pozlacený CRT i kdyby to ten prohlížeč nezobrazoval. Prostě ano, my na to máme.

Nevím, jestli je úplně vhodné posuzovat státní projekty podle toho, že používají LE. Komerční CRT stojí 400kč na rok, to není vůbec moc, takže ani cenu do tohodle srovnání moc namontovat nejde. Stát by měl používat nějakou validní CA (už jen dostat se do těch bundlů prohlížečů a javy něco znamená), třeba i českou.

To už je mnohem lepší ten test validity chainu a vůbec celkové nastavení tls a ipv6.

A jaka ze je pridana hodnota takoveho pozlaceneho certifikatu? ;-) Jako ono to ani tak neni o tom, jestli je to LE, nebo jina CA... jako spis o tom, jak se s tim pak pracuje. Nektere komercni CA umi i ACME, takze automatizace v nasazovani neni problem... nekdo na to treba ma interni tooling a resi to jinak. Ale reseni postavena na tom, ze tamhle Pepik z IT kumbalu prohodi jednou za rok nejake soubory na disku a v lepsim pripade nezapomene prestartovat dotcene sluzby neni uplne stastne reseni, zeano. Mame rok 2025, ne rok 1995 :D

U Digicert (a mozna jinde) je moznost si publikovat CAA zaznam na domenu si pak zamknout pro konkretni ucet. Tim padem uz nemuzete ziskat zadny "neplaceny" certifikat, ale soucasne se vam nestane, ze nekdo kdo ziskal delegaci na svuj server vystavi SSL certifikat, aniz byste o tom vedeli.

Asi to neni bezna situace v ceske statni sprave, ale je to jedna z hodnot tech pozlacenych certifikatu. Nekdy je v cene schovany nejaky malware scan. Nekdy je to soucasti auditu, treba musite mit dva certifikaty, aby byla zajistena kontinuita pri vypadku/prusvihu u jedne CA.

Tu moznost zamknout CAA na konkretni ucet ma skrze accounturi i letsencrypt... takze tady to "zlato" nebude :-)

Musim nekdy zkusit, jak se to chova, kdyz bych tech accounturi mel uvedenych vice. Prijde mi, ze to tak pohodlne jako Digicert neni, protoze u LE potrebuji pro vystaveni certifikatu mit privatni klic uctu a soucasne ho potrebuji peclive chranit, protoze pokud nekde utece, tak me muze utocnik revokovat vsechny moje certy (cili idealne bych tech uctu mel mit vice, abych omezil dopad uniku).

Tohle není o Pepík z IT kumbálu, tohle je o nějaké důvěryhodnosti. Já sám mám CRT od LE nasazené i na tkaničkách od bot, ale od některých institucí očekávám trochu vyšší úroveň.

Potom to dopadne, jak jedna pobočka jedné banky v shoping mallu (nebo jak se to u nás jmenuje), kde její společenská prestige klesla pod stánek s kebabem hned o metr vedle. Prostě od banky fakt neočekávám, že tam vlezu s rozjedeným hambáčem a plným nákupním košíkem. Do banky, pokud se vůbec chodí, tak se chodí do mramorového paláce.

A ta "uroven" se prokazuje tak, ze za ten certifikat a ten rucne nasazujete? :-) Nemyslim si. Ostatne historie ukazuje spousty selhani i u tech komercnich certifikacnich autorit, u kterych si malujete nejakou tu domelou lepsi uroven...

Ne, ja si tu lepsi uroven predstavuji predevsim v automatizaci, kdy se chyby lidskeho personalu eliminuji. Jiste, automatizovat jde i s komercnimi CA, u nekterych podpora ACME je... ale realny argument uziti komercnich CA je spis opren o to, ze se certifikat nemusi menit tak casto a ze to ani nejde moc automatizovat.

Ono ve finale bezni lidi vam ochotne odmackaji treba i propadly, nedejboze neplatny certifikat. V tomhle prostredi resit EV/OV moc smysl nedava. Pochybuju, ze uzivatele je realne prevychovat - zodpovednejsi pristup je stavet prostredi, ktere proste nebude zavisle na tom, jestli je zrovna nekdo v praci...

Hele, když je ten pátek a sedíme spolu v hospodě, tak ti klidně odpovím :-D

A ta "uroven" se prokazuje tak, ze za ten certifikat a ten rucne nasazujete?

Tak ta úroveň se dá prokázat různě. Jednak já proti ručnímu nasazení nic nemám, za život jsem na servery ručně nasadil už možná přes 10tis. crt. Proto pracuju v IT, protože mě fakt baví psát ssh server; systemctl reload nginx; power off; power on Přijde mi velmi podivné za každou cenu prosazovat automatizaci. Prostě se rád dotýkám své práce.

Ale hlavně, to, že jsem nejdražší crt kupoval za 30tis. Kč (ne svých) a potom se mi podle přízvuku dovolala jedna Pákistánka a ptala se na moje city a já ji na to odpověděl Brno a bylo to potvrzené, tak to fakt neznamená, že se nutně musí CA zahodit. Možná by stačilo je opravit a možná by pro ČR mohla být slušná CA. A třeba tu by mohl používat stát. Na správné doméně, se správným tls a ipv6.

Nehledě na to, že některé ACME nástroje nejsou také úplně dokonalé. cacert zbytečně vyžadoval roota a dehydrated tvrdošíjně odmítá restartovat služby po obnově certu (asi by se měl napít). Nehledě na tom, že v tom tvém seznamu je i LE.

Ne, ja si tu lepsi uroven predstavuji predevsim v automatizaci, kdy se chyby lidskeho personalu eliminuji.

Já ti to neberu a nejsem proti, ale ono je potřeba najít příčinu. Pokud někdo jednou za rok nezvládne včas nasadit crt, tak stejně tak nezvládne opravit rozbitou automatizaci (a že jsem toho viděl....). Normální CA s platností rok posílají včas měsíc dopředu upozornění, máme monitoring apod. Takže pokud tohle selže, tak to fakt není vina Pepíka v kumbálu. A já, ehm, jsem jednou moc rád vypnul jeden server, i když jsem věděl, že je ten požadavek špatně, čistě jen proto, abych upozornil na to, že ten člověk, co mi ten požadavek dává, je totálně mimo. A opravdu není v mojí odpovědnosti řídit celý svět. Takže pokud odpovědný vedoucí dva roky neřešil vadného člověka, tak já jsem velmi ochotně neřešil jeho vadné příkazy. A ten Pepík z kumbálu to může mít podobně.

Proto taky píšu o těch dalších technologiích. TLS ani IPv6 se nezařídí samo automaticky. A pokud je tohle správně, tak nasazení obnoveného certu je pro ten IT tým nobrainer.

zodpovednejsi pristup je stavet prostredi, ktere proste nebude zavisle na tom, jestli je zrovna nekdo v praci...

S tím naprosto souhlasím. A obnova crt, o které se ví měsíc dopředu, opravdu nepadá na tom, že zrovna není někdo v práci. Pokud někdo z IT není měsíc v práci, tak to má řešit vedení. Pokud se vedení rozhodne toto neřešit, tak potom je vadný crt ten nejmenší problém.

Mate tu hezkou diskuzi, ale doufal jsem ze se konecne dovim v cem spociva ta vyhoda komercnich certifikatu.
Ty pises same kecy o gyrosu a bance, a hromadu nesouvisejicich veci s automatizaci, kolonama, peronama a dalsima nesmyslama.

Ale me by zajimalo, v cem konkretne je ta *opravdova* vyhoda komecnich certifikatu a proc jsou LE certifikaty nevhodne pro banku. (A nezajima me dalsi stat o stanku s gyrosem a dvernikem u banky, ja naopak ocekavam ze banka nebude mit pozlacene CRT, ale zvoli to nejlevnejsi funkcni reseni abych ja nemusel platit to zlato.)