Názory k článku
Let’s Encrypt standardizuje protokol ACMEv2, přijde v lednu 2018
-
Není špatné trochu příliš zobecňující slovo?
Používá je třeba i Facebook https://newsroom.fb.com/
-
Filip JirsákStříbrný podporovatelExistuje nějaký protipříklad, kdy by „špatné“ nebylo to správné nazvání?
To, že je používá i Facebook, je důkaz čeho?
Jak byste si představoval automatické ověřování oprávnění k vystavení žolíkového certifikátu? Nemyslím si, že by bylo správné, aby si třeba správce webového serveru
cuni.czmohl nechat vystavit certifikát, pokrývajícímff.cuni.cz,ff.cuni.czatd. -
Filip JirsákStříbrný podporovatel
Úplně to stejné ale platí pro DNS. To, že oddeleguje domény a nebude do nich zasahovat může být dané nějakou smlouvou nebo organizačním opatřením u jedné instituce. Ale ověřování wildcard certifikátů by byla nová věc, kterou by bylo nutné nově ošetřit – pokud o tom budou zúčastněné strany vědět. Pokud by neexistovala další opatření, mohl by si NIC.CZ nechat při ověřování přes DNS vystavit wildcard certifikát pokrývající všechny české domény. Ta další opatření ale fungují jen pro domény, u kterých s jistotou všichni vědí, že by to bylo špatně – ale existuje spousta dalších domén, u kterých také funguje delegace na jiný subjekt, ale nejsou podchycené v seznamu doménových přípon.
-
Filip JirsákStříbrný podporovatel
Podmínky nutné k tomu, aby mi byl vystaven žolíkový certifikát, závisí na certifikační politice té které autority. A důvěryhodné autority ten certifikát nevystaví každému, kdo se jen mihne kolem té domény. Jistěže když ovládám DNS, můžu si technicky nechat vystavit jakýkoli DV certifikát na podřízený název, ovšem není úplně triviální udělat to tak, aby to proběhlo bez povšimnutí oprávněného „majitele“ podřízené domény.
-
Zdravím, půjde je vystavit jen přes DNS ověření.
https://letsencrypt.org//2017/07/06/wildcard-certificates-coming-jan-2018.html
-
Jenda (neregistrovaný)
Jaký je doporučovaný postup pro hostingy typu username.webzdarma.cz? Počet certifikátů ještě jde (LE má limit na 5 certifikátů týdně a 100 altnames v certifikátu, takže můžu hostovat ~4000 webů (nebude možná je všechny najednou vyměnit při kompromitaci, ale budiž)), ale nově registrovaný uživatel bude muset ~den počkat, než se do nějakého certifikátu dostane.
Nebo se všichni takovíto hosteři mají registrovat do Public Suffix List? To ale vyžaduje odsouhlasit githubí ToS, které stále obsahují tu hrůzu s placením kalifornských právníků a povinností řídit se americkými zákony.
-
Nedá mi to nereagovat.- 5 cert / týden platí pouze pro duplicitní certifikáty nikoliv pro certifikáty na různé domény třetího řádu. Tam je limit 20 za týden.
- Počítat u nějakého hostingu, že budou dávat 100 uživatelským webům stejný certifikát... no to snad ne!
- Nemyslím, že by Public Suffix List sloužil pro tento účel.
-
Jenda (neregistrovaný)
> Počítat u nějakého hostingu, že budou dávat 100 uživatelským webům stejný certifikát... no to snad ne!
Proč ne? Mimochodem třeba Cloudflare ve free verzi to dělá taky https://www.root.cz/clanky/webhosting-s-cloudflare-bezpecna-cdn-zdarma/nazory/901958/
> To co zmiňujete, má jednoduché řešení. Let’s Encrypt má na stránkách formulář
Ah, super.
