Vlákno názorů k článku
Let's Encrypt nevytlačil ze státní správy komerční certifikáty od Danny - Dotykani se prace je hezke, ale co kdyz...

Dotykani se prace je hezke, ale co kdyz vas prejede vlak? :-) Co kdyz budete chtit byt zrovna s rodinou na dovolene? Spousta tech incidentu kolem rucni prace stoji a pada na tom, ze jde casto o one-man-show. Coz je by-design spise amaterismus a ne znamka kvality ;-) Nekdy to dotycni delaji zamerne, aby byli jakoze "nepostradatel­ni"... coz je jeste horsi pristup.

To, ze nektere nastroje vyzaduji rootovska prava neni chyba protokolu - to byl proste jen nekdo liny a nejak to naprogramoval. A ano, je jednodussi pracovat pod rootem, nez si "komplikovat" zivot v prostredi s omezenymi pravy...

Normalni monitoring vam posle notifikaci dopredu (kdyz to mate dobre nastavene) bez ohledu na nabidku sluzeb CA, v tom bych to "zlato" fakt nehledal. A stejne musite monitorovat jednotlive sluzby - notifikace z CA vam jaksi nezabezpeci, ze nekde treba zapomenete... tu sluzbu po vymene restartovat. Aneb mail o blizici se konci platnosti certifikatu nic moc neresi. Navic mail jak znamo.. neni uplne garantovana vec, a taky nemusi dojit vubec :D

A ano, vim ze na tom seznamu je i LE. Diskuze se ale porad toci kolem toho, v cemze je teda to "zlato" komercnich CA. A porad se nejak... nenaslo :-) Akorat zatim padaji argumenty, ktere jsou pod realnou rozlisovaci schopnosti beznych uzivatelu...

Coz je by-design spise amaterismus a ne znamka kvality

No s tím plně souhlasím. Pokud se vedení rozhodne, že místo 4 zastupitelných lidí tam budou 2 s tím, že to stačí (dovolená a nemoci v tomto vesmíru neexistují), tak dotazy, proč to nejede, potom posílejte rovnou na to vedení :-D

Nekdy to dotycni delaji zamerne, aby byli jakoze "nepostradatel­ni"... coz je jeste horsi pristup.

Nad tímhle přemýšlím celý život a je to taky téma na článek. Já se celou kariéru snažím o dead simple přístup, plnou dokumentaci, vydávám to veřejně jako články a potom vidím servery plné tajemných skriptů na tajemných místech po "mocných unix guru" (většinou dost děsivé příběhy) a někde je přesně vidět ten přístup "nevím jak to funguje, ale musím to nastavit, takže 500 řádkový baťák to spraví" - tohle jsou pohrobky na všech OS, a vždy stačilo jeden apt install a rm skript.sh, takže onen guru byl matlal, který nic nevěděl. A nebo se pustil do nečeho, co vůbec neměl dělat. Ono známka profesionála je také v tom, že některé věci prostě nedělá.

A taky jsem si myslel, že je to schválnost a budování nepostradatelnosti, ale když vidím, co jsou schopni lidé poradit v diskusích zde nebo na abclinuxu, tak na to buď jako reakci napíšu článek (jako rada nastavení sítě v crond @reboot mě fakt dostala), nebo jdu raději chytat ryby. Alespoň na odborných fórech by to info mělo být up to date.

Tohle je prostě mnohem složitější problém. :-(

to byl proste jen nekdo liny a nejak to naprogramoval

No "někdo". Kdyby to byl náhodný kolemjdoucí, tak se to ani nedostane do distribucí. Ale tohle byl oficiální klient doporučovaný přímo samotnou LetsEncrypt a na stránkách EFF. A tohle právě potom může způsobovat ty děsivé příběhy. Prostě někdo (dejme tomu začátečník) se podívá jak to dělají profíci, zjistí, že je fajn dělat všechno jako root, tak to tak potom bude dělat. Proto bych od nové CA v nové době a speciálně od EFF čekal přístup "uděláme všechno správně, aby se od nás mohli učit".

Diskuze se ale porad toci kolem toho, v cemze je teda to "zlato" komercnich CA.

To jsem snad naznačil jasně s tou bankou. Pokud se budu přihlašovat do internetového bankovnictví a uvidím tam crt od LE, tak mě to zaujme asi stejně, jako pobočka vedle stánku s gyrosem. Prostě některé věci se ve slušné společnosti nedělají. A stejně jako jsem zvyklý chodit do banky, kde ještě před lety stál zcela zbytečný dveřník v krásném obleku, tak stejně tak bych rád chodil na web banky s crt od nejlepší ca na světě. A po technické stránce je mi jasné, že je to vlastně jedno, ale jako spoustu věcí děláme prostě jen tak pro parádu, ne?