Odpověď na názor

Ta prva otazka nebola o HW zdrojoch ale o linkoch na zdroje, ktore potvrdia tvoje slova "47 dnů proto, že už to riziko neobnovení je tak malé, že to jde dělat podstatně lépe, než za 90 dnů."
Však jsem na ni také neodpovídal ničím o hardwarových zdrojích.

OK, to tvrzení se skládá ze dvou částí – 1., že 90denní certifikáty už se používají nějakou dobu. Let's Encrypt vydává certifikáty s 90denní platností od začátku (na to také chcete zdroj?), historii Let's Encrypt najdete třeba na Wikipedii: Let's Encrypt. 2. část tvrzení říká, že za dobu používání 90denních certifikátů už se technologie pro jejich vydávání a monitoring odladily. Nevím, jaký přesně zdroj byste si představoval – třeba oficiální seznam ACME klientů?

Toto nevyriesi 47 dnovy certifkat ale fungujuca revokacia(napriklad spominane DANE).
Revokace pro TLS certifikáty nefunguje a fungovat nebude. Kratší platnost certifikátů problém neřeší, ale zmenšuje. Což je ve většině případů to jediné, co můžeme s problémem dělat. Ostatně ani revokace problém neřeší, jen zmenšuje. Postupně se dostává od několikaleté platnosti ke 47 dnům – to je dost výrazné zlepšení.

Tu znovu zopakujem, ze nech CA davaju moznost vyberu platnosti a na kriticke veci si dotycni mozu vyberat certifikaty s kratkou platnostou.
Nepochopil jste to. Problém může nastat jinde, než u toho, kdo certifikát pořizuje. Takže dávat mu na výběr není řešení. Je to to samé, jako HTTP vs. HTTPS. Do budoucna nebude možné nechat na výběr, že se někde použije jen HTTP, protože to, že prohlížeč podporuje HTTP, ohrožuje především ty, kteří používají HTTPS.

DANE nemá s revokací nic společného.

Banka potrebuje nieco navyse a mojmu blogu je to jedno.
Jenže ta banka i blog sdílejí stejné technologie, mohou dokonce v čase mít stejnou doménu. Jak banka, která od vás koupí domémnu, zajistí, abyste vy v minulosti nevydal certifikát s dlouhou platností?

Tu mi islo o moznost vyberu dlzku vopred podla usecase/pravde­podobnosti problemu a ich dosledkov, ktore som spominal vyssie banka vs blog.
Vy víte přesně, co bude za 90 dní?

Urobi rozdiel ten 45 dnovy? Je rozdiel oproti 1 rocnemu?
Ano, je v otm rozdíl. Proto se platnost certifikátů postupně zkracuje, jak technologie umožňují jejich spolehlivější obnovu a zároveň jak roste důležitost certifikátů.

Predpokladam, ze by sme mohli zhodnut,ze ako-kde.
Problém je, že nechápete, že to „ako-kde“ je právě podstatné riziko. Najednou to musíte pro každý případ znovu vyhodnocovat, musíte řešit historii. Zavádíte úplně novou možnost chyby. Zcela bezdůvodně.

V com sa to zmeni, ked tam bude kratsi certfikat?
V tom, že se zkrátí doba, po kterou musím počítat s tím, že někde existuje certifikát, který už by neměl platit. Když koupím doménu, můžu ji začít používat už po 47 dnech a ne až po 90.

Pricom to nieje problem dat na vyber.
Je to zbytečná komplikace.

Jednoducho niekomu to pomoze
Pomůže.

niekomu to skomplikuje zivot
Jak? Komu? Pokud někdo nemá vydávání certifikátů zautomatizované, má to komplikované už teď.

pricinu to nevyriesi
Příčina vyřešit nejde. Jediná možnost je přestat používat certifikáty a ověřovat klíče přímo od vlastníka domény – třeba přes DANE.