Vlákno názorů k článku
Let's Encrypt zpřístupnil šestidenní certifikáty všem, můžou být vystaveny na IP adresu od Wasper - A není to pořád moc, Antone Pavloviči? Co...

Existuju k tomu nejake zdroje, ze je to podstatne lepe nez 90 dni?
Let's Encrypt s devadesátidenními certifikáty funguje už poměrně dlouho. Z počátku nebylo tolik nástrojů na autoomatizaci, nebyl tak rozšířený monitoring certifikátů. To se postupně vylepšovalo, nástrojů je dnes mnohem víc, než když LE začínal. Těch 90 dnů se tedy dnes běžně zvládá bez jakýchkoli problémů – není tedy důvod myslet si, že 47 dnů bude působit nějaký problém, když je to ve velké většině případů plně automatizované.

Kolko a akych vaznych pripadov je s unikom privatnych klucov? Kolko povodnych majitelov domen zneuzilo platny certfikat po predaji.
Vážné jsou všechny. A těch případů je dost na to, aby se problém úniku privátního klíče od začátku v PKI řešil.

Pride mi to skor ako teoretizvanie ako, ze toto je velky realny problem preco platnost potrebujeme skratit na 47 dni.
Vsadí na to, že je to jen teoretizování, všechny peníze, které máte v bance? Protože i vaše komunikace s bankou je zabezpečena těmito certifikáty. Nejde jen o pravděpodobnost problému, ale i o možné důsledky.

Je vela usecasov, kde toto nieje problem, tak naco ich trapit takymi kratkymi certifikatmi?
Ako som pisal mat mzonost volby podla usecase/dolezitosti si vyberat certfikat mi pride fer volba.
Jenže délku platnosti certifikátu si musíte zvolit předem, případný problém ale přijde až po tom. Je to jako kdybyste se ptal, proč si zapínat v autě bezpečnostní pásy, když k nehodě dojde jenom málokdy. Jenže to nevíte předem – proto si musíte ty bezpečnostní pásy zapnout předem.
A trápit se? Pokud někoho netrápí 90denní certifikáty, nebudou ho trápit ani 47denní. Pokud ho trápí, měl by to řešit tak jako tak.

K comu mi bude dobry 47 dnovy certfikat na tlaciarni alebo switchi/routri napriklad?
Je v tom nějaký rozdíl oproti 90dennímu?

Alebo mam obycajnu nedoelzitu stranku, tak naco na nej menit certifikat tak casto?
Vy se na to stále díváte z pohledu aktuálního okamžiku. Jenže 90denní certifikát znamená, že se certifikační autorita zaručuje, že to tak, jak je to dnes, bude i za 90 dní. Což vůbec nemusí být pravda. Co když se z ní během těch 90 dnů stane důležitá stránka? Co když tu doménu od vás někdo koupí?

Zvysi to zataz na strane klientov(pouiz­vatelov certfikatov)
Jak to zvýší zátěž?

aj poskytovatelov certifkatov
Ano, stejně jako zátěž zvýšila předchozí zkracování platnosti, novější algoritmy, větší klíče, certificate transparency logy…

prinos je podla mna otazny
Ten názor vám nikdo nebere. Ale ti, co o tom rozhodují, mají jiný názor.

> Jenže 90denní certifikát znamená, že se certifikační autorita zaručuje, že to tak, jak je to dnes, bude i za 90 dní. Což vůbec nemusí být pravda. Co když se z ní během těch 90 dnů stane důležitá stránka? Co když tu doménu od vás někdo koupí?

To se může stát i během několika dnů, proč zrovna 47 nebo 6? Proč ne třeba 1 den? Nebo 30 minut?

Představou že u běžných blogíškových domén jí někdo prodá, aby pak přes BGP unášel příslušný IP blok aby mohl zneužít stávající certifikát (přičemž ale ten BGP únos nevyužije k vydání nového) by se měl zabývat Dr. Chocholoušek.

U high profile se obvykle ta doména drží ještě pěkně dlouho, aby nedošlo na poškození pověsti.

Představou že u běžných blogíškových domén jí někdo prodá, aby pak přes BGP unášel příslušný IP blok aby mohl zneužít stávající certifikát (přičemž ale ten BGP únos nevyužije k vydání nového) by se měl zabývat Dr. Chocholoušek.
To, že na doméně původně běžel blogísek, neznamená, že tam nový majitel nechce provozovat něco významného. Certifikát má prokazovat vlastnictví domény a ne že bude každý muset přemýšlet, jetsli tam nejsou nějaké výjimky. Je to jako používání HTTPS všude – je to prostě jednodušší a bezpečnější než pořád řešit, kde stačí HTTP.

Když koupíte byt, také u něj vyměníte zámek a neřešíte, že původní majitel přece nemá důvod vám do bytu lézt.

To se může stát i během několika dnů, proč zrovna 47 nebo 6? Proč ne třeba 1 den? Nebo 30 minut?
To jsem psal v první reakci v tomto vlákně.

"To se může stát i během několika dnů, proč zrovna 47 nebo 6? Proč ne třeba 1 den? Nebo 30 minut?"
Co je tohle za argumentaci? Spise relativizaci! Jasne ze muze se to stat i za 31 minut nebo nikdy.
Ale tak nejak vsichni citime ze cim mensi cas tim mensi pravdepodobnost. ze?

Povodna otazka bola pomerne jasna: "kde je nejake cost-benefin analyza, ktora hovori, kde je rozumna hranica".

"Ale tak nejak vsichni citime ze cim mensi cas tim mensi pravdepodobnost. ze?" je v kontexte otazky hlupost.

kde je nejake cost-benefin analyza, ktora hovori, kde je rozumna hranica
Není žádná rozumná hranice. Ta hranice se pořád posouvá (platnost se zkracuje), protože roste váýznam certifikátů a klesají náklady s jejich obnovou a riziko, že se obnova nepovede. A žádnou analýzu, že ideální doba platnosti certifikátů je 17. ledna 2026 přesně 76,246 dne vám nikdo neudělá. 47 dnů je arbitrární hodnota, na které se shodlo CAB fórum. Stejně jako se před tím rozhodlo pro 398, před tím 2 roky, nebo jako se Let's Encrypt rozhodlo pro 90 dnů.

"...A žádnou analýzu...nikdo neudělá. 47 dnů je arbitrární hodnota..."

Inak povedane, celu dobu tu varite z vody a pisete nezmysly.

Su dve moznosti:

- bud to existuje a potom len zavadzate pisanim o hrozbach a pricinach bez toho aby ste tusili o com hovorite

- alebo mate v tomto smere pravdu a vsetci ktori su zodpovedni za opakovane skracovanie si zasluzia zastrelit za neopravnene terorizovanie celeho sveta

---

Seriozna analyza by jednoducho zahrnula pravdpodobnost utoku v case po vystaveni certifikatu, odhad moznej skody a naklady za opakovane vystavenie. Z toho by uz nejaky rozumny cas na zivotnost vypadol. Mozno by to bol den, mozno rok, bez udajov je to len varenie z vody.

> vsetci ktori su zodpovedni za opakovane skracovanie si zasluzia zastrelit za neopravnene terorizovanie celeho sveta

Mě to neterorizuje. LE obnovuje cronjob (před LE to bylo každé 1-2 roky kolečko s manuálním klikáním v náhodném rozhraní náhodné CA; ve škole nám to dokonce ručně schvaloval člověk z Cesnetu, takže to přišlo další pracovní den; to byl tedy manuální opruz, ale méně často, vs. tady opruz s provozem té automatické služby) a je mi jedno jak často běží. Jako nechtěl bych asi, aby to bylo jen pár dní, to by bylo málo času na řešení že jsem něco rozbil a LE klient přestal fungovat, nebo hypotetického výpadku LE, nebo náhodného záseku "LE se rozhodlo pro tuto doménu nevydat protože heuristiky usoudily že je phishingová nebo se jim prostě nějak nelíbí" (to se dělo v začátcích).

Nebo ještě jinak: vy v současné době 90denních certifikátů tyto nějak vyřizujete ručně?

18. 1. 2026, 05:09 editováno autorem komentáře

Inak povedane, celu dobu tu varite z vody a pisete nezmysly.
Důvody, proč je lepší kratší platnost a proč je možné platnost postupně zkracovat, jsem napsal. Že dva roky, 398 dnů, 200 dnů, 100 dnů, 90 dnů, 47 dnů, 6 dnů jsou arbitrární hodnoty musí být jasné každému, kdo se na ta čísla podívá.

Seriozna analyza by jednoducho zahrnula pravdpodobnost utoku v case po vystaveni certifikatu, odhad moznej skody a naklady za opakovane vystavenie. Z toho by uz nejaky rozumny cas na zivotnost vypadol. Mozno by to bol den, mozno rok, bez udajov je to len varenie z vody.
Jo, vypadl by z toho časový údaj 3,7 měsíce ± 40 let. Chcete získat přesné číslo, ale na vstupu byste měl jen kupu odhadů.

Ona se ta seriózní hodnota dá získat i úplně jiným způsobem. Znáte současný stav a odhadnete, jaký je stav technologií – o kolik je možné tu dobu zkrátit. Výsledek je mnohem lepší, než výstup té vaší superdrajé supernepřesné analýzy – protože vychází z praxe, ne z nějakých teorií.

setci ktori su zodpovedni za opakovane skracovanie si zasluzia zastrelit za neopravnene terorizovanie celeho sveta
Nikdo nikoho neterorizuje. A to zkracování je oprávněné – domluvili se na něm tvůrci prohlížečů s certifikačními autoritami. (Přičemž ten tlak na zkracování jde od tvůrců prohlížečů, ne od autorit, jak tvrdí konspirátoři.) Jestli se vám to nelíbí, nic vám nebrání do té diskuse CAB fóra se zapojit a přesvědčit ostatní o svých argumentech. Zatím tu jen plácáte o svých dojmech. Ale rozhodují ti, kteří pro danou věc něco dělají.

Kdybys napsal "nic o tom nevím", ale mám silný názor, bylo by to kratší, nebylo potřeba generovat tolik zbytečného textu.

To sice ano, ale záleží na průběhu té pravděpodobnosti. Pokud by se například 99% útoků stávalo v prvních 30 minutách, tak zkracování platnosti certifikátů toho moc neřeší, protože půlhodinové by byly moc krátké a delší nemají moc efekt - v drtivé většině případů bude v době expirace certifikátu už prolomeno.

Ta prva otazka nebola o HW zdrojoch ale o linkoch na zdroje, ktore potvrdia tvoje slova "47 dnů proto, že už to riziko neobnovení je tak malé, že to jde dělat podstatně lépe, než za 90 dnů."

"Vážné jsou všechny. A těch případů je dost na to, aby se problém úniku privátního klíče od začátku v PKI řešil."
Toto nevyriesi 47 dnovy certifkat ale fungujuca revokacia(napriklad spominane DANE). Skracovanie paltnosti certifikatov zmensi okno zneuzitia ale to bude dostatocne vwleke aj pri 47 dnoch. A aj pri 6 dnoch
Tu znovu zopakujem, ze nech CA davaju moznost vyberu platnosti a na kriticke veci si dotycni mozu vyberat certifikaty s kratkou platnostou. Podobne ako teraz LE dava moznost 6-dnovych.
Aky je problem nechat moznost vybrat si 90dnovy a kludne aj dlhsi na nepodstatne veci?
Chyba mi tu moznost volby.

"Nejde jen o pravděpodobnost problému, ale i o možné důsledky."
Ale oba viem celkom slusne odhadnud. Som banka, tak bezpecnost beriem vazne alebo som sukromna osoba a mam osobny blog. Obaja budeme mat 47 dnovy certifikat, ktory dokopy nic neriesi, nezlepsi aktualnu situaciu. Banka potrebuje nieco navyse a mojmu blogu je to jedno.
Znovu comu by tu vadila moznost vyberu dlzky platnosti?

"Jenže délku platnosti certifikátu si musíte zvolit předem, případný problém ale přijde až po tom. Je to jako kdybyste se ptal, proč si zapínat v autě bezpečnostní pásy, když k nehodě dojde jenom málokdy. Jenže to nevíte předem – proto si musíte ty bezpečnostní pásy zapnout předem."

Mas pocit, ze som taky blby? Tu mi islo o moznost vyberu dlzku vopred podla usecase/pravde­podobnosti problemu a ich dosledkov, ktore som spominal vyssie banka vs blog.
Alebo naco je tlaciarni dobry 47 dnovy certfikat? Podla usecase si vyberiem dlzku platnosti.

"Je v tom nějaký rozdíl oproti 90dennímu?"
Dam proti otazku? Urobi rozdiel ten 45 dnovy? Je rozdiel oproti 1 rocnemu?
Predpokladam, ze by sme mohli zhodnut,ze ako-kde. Niekde to urobi velky rozdiel a niekde ziaden. Vyzera ale ze, volba este kratsich bude ale dlhsich nie.
Zopakujem, chyba mi moznost volby. 47 dni pre vsetkych

"Vy se na to stále díváte z pohledu aktuálního okamžiku. Jenže 90denní certifikát znamená, že se certifikační autorita zaručuje, že to tak, jak je to dnes, bude i za 90 dní. Což vůbec nemusí být pravda. Co když se z ní během těch 90 dnů stane důležitá stránka? Co když tu doménu od vás někdo koupí?"

Nie nepozeram sa tak. V com sa to zmeni, ked tam bude kratsi certfikat? Nevyriesi to pricinu/nefungujucu revokaciu.
Mne sa len nepaci 47 dni pre vsetkych a nijak inac. Pricom to nieje problem dat na vyber.
Jednoducho niekomu to pomoze, niekomu to skomplikuje zivot ale pricinu to nevyriesi.

Ano ma spravdu. Ja o tom bohuzial nerozhodujem : )

Ta prva otazka nebola o HW zdrojoch ale o linkoch na zdroje, ktore potvrdia tvoje slova "47 dnů proto, že už to riziko neobnovení je tak malé, že to jde dělat podstatně lépe, než za 90 dnů."
Však jsem na ni také neodpovídal ničím o hardwarových zdrojích.

OK, to tvrzení se skládá ze dvou částí – 1., že 90denní certifikáty už se používají nějakou dobu. Let's Encrypt vydává certifikáty s 90denní platností od začátku (na to také chcete zdroj?), historii Let's Encrypt najdete třeba na Wikipedii: Let's Encrypt. 2. část tvrzení říká, že za dobu používání 90denních certifikátů už se technologie pro jejich vydávání a monitoring odladily. Nevím, jaký přesně zdroj byste si představoval – třeba oficiální seznam ACME klientů?

Toto nevyriesi 47 dnovy certifkat ale fungujuca revokacia(napriklad spominane DANE).
Revokace pro TLS certifikáty nefunguje a fungovat nebude. Kratší platnost certifikátů problém neřeší, ale zmenšuje. Což je ve většině případů to jediné, co můžeme s problémem dělat. Ostatně ani revokace problém neřeší, jen zmenšuje. Postupně se dostává od několikaleté platnosti ke 47 dnům – to je dost výrazné zlepšení.

Tu znovu zopakujem, ze nech CA davaju moznost vyberu platnosti a na kriticke veci si dotycni mozu vyberat certifikaty s kratkou platnostou.
Nepochopil jste to. Problém může nastat jinde, než u toho, kdo certifikát pořizuje. Takže dávat mu na výběr není řešení. Je to to samé, jako HTTP vs. HTTPS. Do budoucna nebude možné nechat na výběr, že se někde použije jen HTTP, protože to, že prohlížeč podporuje HTTP, ohrožuje především ty, kteří používají HTTPS.

DANE nemá s revokací nic společného.

Banka potrebuje nieco navyse a mojmu blogu je to jedno.
Jenže ta banka i blog sdílejí stejné technologie, mohou dokonce v čase mít stejnou doménu. Jak banka, která od vás koupí domémnu, zajistí, abyste vy v minulosti nevydal certifikát s dlouhou platností?

Tu mi islo o moznost vyberu dlzku vopred podla usecase/pravde­podobnosti problemu a ich dosledkov, ktore som spominal vyssie banka vs blog.
Vy víte přesně, co bude za 90 dní?

Urobi rozdiel ten 45 dnovy? Je rozdiel oproti 1 rocnemu?
Ano, je v otm rozdíl. Proto se platnost certifikátů postupně zkracuje, jak technologie umožňují jejich spolehlivější obnovu a zároveň jak roste důležitost certifikátů.

Predpokladam, ze by sme mohli zhodnut,ze ako-kde.
Problém je, že nechápete, že to „ako-kde“ je právě podstatné riziko. Najednou to musíte pro každý případ znovu vyhodnocovat, musíte řešit historii. Zavádíte úplně novou možnost chyby. Zcela bezdůvodně.

V com sa to zmeni, ked tam bude kratsi certfikat?
V tom, že se zkrátí doba, po kterou musím počítat s tím, že někde existuje certifikát, který už by neměl platit. Když koupím doménu, můžu ji začít používat už po 47 dnech a ne až po 90.

Pricom to nieje problem dat na vyber.
Je to zbytečná komplikace.

Jednoducho niekomu to pomoze
Pomůže.

niekomu to skomplikuje zivot
Jak? Komu? Pokud někdo nemá vydávání certifikátů zautomatizované, má to komplikované už teď.

pricinu to nevyriesi
Příčina vyřešit nejde. Jediná možnost je přestat používat certifikáty a ověřovat klíče přímo od vlastníka domény – třeba přes DANE.