Hlavní navigace

Názor ke zprávičce Let's Encrypt zítra revokuje 3 miliony certifikátů od Filip Jirsák - Ano, nastal teď poprvé, ale bylo by naivní...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 10. 3. 2020 9:11

    Filip Jirsák

    Ano, nastal teď poprvé, ale bylo by naivní domnívat se, že už se nic takového nebude opakovat. Navíc protokol ACME má ambice stát se univerzálním protokolem pro vystavování certifikátů, a čím víc se to bude automatizovat (což je správné), tím větší potřeba bude řešit i tenhle krok. Protože čím větší automatizace, tím větší problém do toho pak zasáhnout ručně.

    Povinné hooky jsou nereálné, nejsou páky, jak k použití někoho donutit. Dalo by se udělat to, že by se třeba vystavení certifikátu změnilo na hook – když už by někdo implementoval hook pro získání certifikátu, spíš by implementoval i ten pro vynucení obnovy. Ale to je nereálné. Mně by ale nijak nevadilo ani to, že by podpora hooků byla zcela volitelná. Problém totiž vidím v tom, že dnes to nikdo vyřešit nemůže, i kdyby chtěl.

    Znovu uvedu jako příklad NAS servery – že používají certifikáty je správně. Že to zcela automatizují a funguje to bez zásahu uživatele, to je také správně. Výrobci NASů tedy dělají vše správně (pokud teda nemají to omezení, že je možné certifikát obnovit nejdříve 10 dnů před koncem platnosti), přesto může nastat situace, že statisíce uživatelů budou mít kvůli revokovanému certifikátu nedostupný NAS – přitom chybu neudělá ani uživatel ani výrobce NASu. Takže mi jde jen o to dát tomu, kdo to chce řešit, do rukou nástroj, kterým to bude moci vyřešit. Ono by možná stačilo jen standardizovat e-mail – umožnit uvést pro tyhle případy druhý e-mail, který by si výrobce NASů přesměroval na sebe a zapojil ho do vzdálené správy NASu, a ten e-mail by měl nějakou standardizovanou strojově čitelnou přílohu (asi JSON, když jsme v ACME protokolu).

    Neříkám, že je to snadné. Ale před několika lety bylo nepředstavitelné mít protokol pro automatizované vydávání certifikátů. Také tam byly potřeba hooky – majitel domény musí být na výzvu schopen prokázat, že doménu ovládá. A podařilo se to vyřešit.