Vlákno názorů k článku
Let’s Encrypt příští rok nabídne certifikáty se šestidenní platností od Marvin - Když dám server do šrotu nebo zdechne disk,...

Když dám server do šrotu nebo zdechne disk, nemusím řešit revokaci certifikátů. Stačí to nechat týden offline.

Průšvih je, že některá zařízení s LE certifikátem mám běžně více než týden vypnutá (NAS, testovací virtuální server...). Pro ta je tříměsíční platnost tak akorát, měsíc je snesitelný...

já tohle řeším tak, že certifikáty se vydávají do interního vaultu a z něho si je zařízení načítají, ať už při bootu nebo při runtime, ani denní platnost mě pak neomezuje. Podobně to máme i zajištěné u klientů.

Pro domácí použití pro běžné uživatele to samozřejmě může být problém. Výrobci to postupně řeší tak, že nějaké web ui nebo rest těhle SOHO zařízení není a veškerá komunikace a nastavení probíhá přes aplikaci a infrastrukturu výrobce, který pak svým kanálem komunikuje se zařízením a může tam mít libovolné ceritifkáty. To se mi moc nelíbí, pak to zařízení je přímo závislé na výrobci i po dobu životnosti a bez internetu neuděláš naprosto nic.

Jinak receno, provozujes SPoF, s bonusem uzasneho cile pro utok. Co uz je zajimavejsiho nez cil, kde muzu ziskat potencielne tisice certifikatu vcetne klicu a vcetne moznosti si generovat dalsi a pripadne sejmout celou infrastrukturu jednim vrzem.

hm, hm. Výhoda vaultů je, že je můžeš poměrně snadno replikovat (převyšuje u nich čtení proti zápisu), mít více kopií a rozdělit. Co je na tom SPoF? V podstatě dnes vaulty u klientů máme v každém AZ (sitě či jakékoliv nejmenší jednotce). Šifrování vládne světu a různé klíče a tokeny jsou potřeba na běžné bázi a mít to persistentně na discích je pro mě daleko větší riziko než mít potřebu nějaké služby, které to udržuje.

Tobě připadá jako lepší alternativa mít každý server dostupný z internetu nebo mít možnost každým serverem měnit DNS záznmy? Opravdu? Stačí ti pak získat přístup na jediný server a máš také možnost si generovat certifikáty, v některých případech dokonce libovolný.

Např. KMS servery, které k tomu klienti často používají bývají poměrně robustně testované a chráněny, aby nedovolili kompletní export a přístup k hodnotám se řídí.

Nebo jak jinak řídíš uchování tajemství? Máš to přímo na discích v čitelný podobě? Používáš TPM modul, kde máš jediný klíč pro celý disk?

A proc by si to nemohlo rict o novej cert pri svem spusteni? Vzdyt je ve vysledku jedno, jestli to "neco" je vyple tyden, mesic, pul rok nebo rok... nesnesitelne to dela mozna implementace na tom zarizeni, ktera to chce mit "stejne" v souladu s postupem pred triceti roky ;-)

Protože postup pro získání nového certifikátu a pouhé prodloužení (vydání opakovaného) se liší?
Když jsem to (před několika lety) implementoval, u nového certíkubyly potřeba ruční kroky (hlavně na straně toho zařízení to je klikačka), takže tohle moc automatizovat nejde. Ale na obnovu to má automat.

V ACME se postup získání nového certifikátu a prodloužení certifikátu nijak neliší.

Oni i admini si obcas berou dovolenou, a kdyz se nepovede obnoveni certu s 3 mesicni platnosti, tak je ten mesic rezervy tak na hrane, aby to nekdo spravil. Tohle povede tak maximalne k tomu, ze milliardy uzivatelu budou klipat na "chci tam jit stejne" ... a az jim to bude znemozneno, tak si nainstalujou nejakou starsi verzi, ktery rovnou nakonfigurujou, at drzi pysk.

Mesicni (a jakakoli kratsi) platnost je zcela mimo realitu.

Mimo realitu je to spolehani se na admina. To zbozi je nedostatkove ;-) Tohle proste musi resit automat. Realita je beztak takova, ze tam kde je potreba oprava se na problem prijde az kdyz je fakt prusvih a cert expirovanej. A pak je fuk, na jak dlouho je vydanej, zejo...

A pokud chcete argumentovat dovolenou, pak z druhe strany je relevantni argumentovat zastupitelnosti. Vypadnout muze cokoliv kdykoliv a vypadky se fakt neptaji, jestli se zrovna valite na plazi, zejo... :-)

Problem s kratsi platnosti certifikatu maji predevsim matlove, co to porad nejak smudlaji rucne.

Uz sis pozadal o Nobelovku? Zjevne umis automaticky resit bugy v SW i HW, takze hura na to.

No realita v některých firmách je taková, že proces vydání následného certifikátu je administrativně tak složitý, že se táhne týdny.
My například máme v předpisech, že se musí začít nejpozději 30 dní před vypršením certifikátu a nový se nasazuje 14 dní před koncem starého. To při šestitýdenním cyklu znamená, že budeme papírovat nepřetržitě v tříčtvrťovém rytmu testovka - jedno datacentrum - druhé datacentrum,
Technický proces změníte snadno, ale změnit tu administrativu v koprolátu není tak jednoduché...!

A ostatním citlivým datům na disku určitě taky postačí, když ho necháš týden ležet.

To je vlastně dobrý nápad. Disky, na kterých data vydrží zapsaná pouze týden. Díra na trhu!

SSD se tomu trochu blíží. Jen to chce ještě maličko zapracovat na technologii, aby to nebylo v řádu let, ale dnů :-).

To uz maji u samsungu vymysleno, dny to teda jeste nejsou, ale tydny uz jo. Vymenoval sem takhle par desitek SSDcek prave za ty od nich, a behem prvniho roku jich zdechlo 40%.

Pred casom sme mali ortutove pamate, to by sa mohlo obnovit na certifikaty.
https://en.wikipedia.org/wiki/Delay-line_memory#Mercury_delay_lines