Hlavní navigace

Názor ke zprávičce Let's Encrypt zítra revokuje 3 miliony certifikátů od Vít Šesták - > Na druhou stranu, chtělo by to v...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 3. 2020 12:39

    Vít Šesták

    > Na druhou stranu, chtělo by to v rámci ACME i tyhle revokace ze strany CA nějak zautomatizovat – protože dnes je LE postavené na automatizaci, a tohle je najednou úplně jiný prvek, který vyžaduje, aby správce zareagoval na e-mail, vstoupil do toho automatizovaného procesu a ručně vynutil obnovu certifikátů

    To by se určitě hodilo, otázkou jsou náklady, spolehlivost a přínos.

    Přínos by tu určitě byl, i když to není něco, co bychom řešili každý rok…

    Náklady ovšem nejsou úplně zanedbatelné a dosáhnout dobré spolehlivosti taky není sranda. Máme spoustu klientů, kteří se integrují různými způsoby. Nezřídka ACME klient neposlouchá na žádném portu, takže bychom museli vymyslet komunikaci směrem k němu. Často tu nějaká možnost bude, ale můžeme vystavovat i certifikát na doménu, kde nemáme přístup k webserveru a kde se ověřujeme pomocí DNS záznamů.

    Ve výsledku tak ne vždy máme zpětný komunikační kanál, a i pokud máme, často by ho musel admin nějak napojit na klienta. Pokud to nebude povinné, ne každý software to bude umět a ne každý správce to reálně nasadí. Přínos v této situaci by ovšem mohl vypadat i tak, že LE obnoví o pár stovek certifikátů víc a pár adminům ušetří práci. Pokud to bude povinné, mohlo by to omezit rozšiřování TLS. (Představte si tento argument před pěti lety, když LE začínalo…)

    Užitečné by to tedy určitě bylo, ale:

    1. Celkem chápu, proč se do toho v LE nepouštěli od dne 0.
    2. Pochopím i teď, pokud dají přednost jiným vylepšením.