Odpověď na názor
Odpovídáte na názor k článku Let's Encrypt zpřístupnil šestidenní certifikáty všem, můžou být vystaveny na IP adresu. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelVe světě TLS certifikátů, když platnost certifikátu potřebujete ověřit „teď hned“ neexistuje rozumný způsob, jak ověřovat platnost certifikátu. OCSP je buď pomalé a vyzrazuje, kdo jaký web navštěvuje, nebo klade nepřiměřené nároky na infrastrukturu CA a dělá z ní single point of failure. CRL je pomalé a při počtu certifikačních autorit je pro TLS klienta docela náročné udržovat seznam všech odvolaných certifikátů.
Takže ve světě TLS certifikátů platí, že certifikát platí do doby na něm uvedené, je prakticky nemožné jeho platnost odvolat (tak, aby to bylo účinné). No a platnost certifikátu 90 dnů znamená, že když vám někde unikne privátní klíč, může ten, kdo ho získal, až devadesát dnů používat váš platný certifikát. Také to znamená, že když od někoho získáte doménu, původní majitel může mít až devadesát dnů platný certifikát k vaší doméně.
Proto se platnost certifikátů postupně zkracuje – ruku v ruce s tím, jak se snižuje riziko neobnovení certifikátu (ACME byl v tomhle velký skok kupředu). 47 dnů proto, že už to riziko neobnovení je tak malé, že to jde dělat podstatně lépe, než za 90 dnů. A ta doba se podle mne bude dál zkracovat i z těch 47 dnů. Pravděpodobně se spoléhá na to, že dřív, než to dojde k otmu jednomu dni, konečně se rozšíří DNSSEC a bude možné přejít na DANE.
ČLÁNKY DO MAILU