Názory k článku
Let's Encrypt zpřístupnil šestidenní certifikáty všem, můžou být vystaveny na IP adresu

Přitom by stačilo, aby browsery a další sw začali podporovat DANE a celej tenhle cirkus se zkracováním platnosti certifikátů by se mohl ukončit. Technicky by nebyl problém mít na serveru certifikát klidně 10let. Při kompromitaci smáznu záznam z DNS a deploynu nový cert. Je to funkční a rychlý. Jenže to by certifikační autority přišly o svoje prašulky a tak raději dál pojedeme na tom mrtvém koni a budeme všechny přesvědčovat, že je to tak správně a že to jinak nejde.

Spíš to není o prašulích pro certifikační autority, ale o mnohem složitějším podstrkávání "důvěryhodného" certifikátu od třípísmenkových organizací :-)

Jenže to by museli v první řadě všichni umět DNSSEC. V CZ je to díky snaze CZ.NIC docela běžná věc, ale jinde je to rarita.

A není to pořád moc, Antone Pavloviči? Co žádat o nový certifikát pro každý tls request, nebo alespoň pro každého dalšího klienta, jak to dělá Kerberos, bude to pak dost bezpečné?

k DANE se připojuji.