Hlavní navigace

Názor ke zprávičce Let's Encrypt začal používat nový mezilehlý certifikát R3 od BobTheBuilder - Nejsme ve sporu - otisk certifikátu je v...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 4. 12. 2020 10:24

    BobTheBuilder

    Nejsme ve sporu - otisk certifikátu je v TLSA výslovně nedoporučován (TLSA 3 0 1). Drobná potíž je, že acme standardně pokaždé generuje nový privátní klíč i CSR, musí se mu říct, aby to nedělal (pro acme.sh option --csr) a pak použí TSLA 3 1 1 (otisk veřejného klíče).
    I tak by to ale měl renew hook kontrolovat a při změně TLSA neinstalovat nový certifikát a upozornit admina.
    Když tohle člověk vidí, napadne ho, jestli by nebylo lepší do TLSA dát self-signed certifikát, nebo mít vlastní CA.
    No, nebylo: minimálně vám pak nebude fungovat propojení gmailu s vaším serverem. Tam se TLSA nebere v potaz, od loňského podzimu se vyžaduje certifikát od důvěryhodné CA.