Vlákno názorů k článku
Let's Encrypt zpřístupnil šestidenní certifikáty všem, můžou být vystaveny na IP adresu od 384.cz - Ať si každý sám zvolí, na jak dlouho...

Ať si každý sám zvolí, na jak dlouho ten certifikát chce. Obtěžovat sysadminy není žádoucí

Tohle skutečné adminy samozřejmě neobtěžuje, ti to mají dávno automatizované a na obnovování certifikátů zapomněli.

Já tomu komentáři také nerozumím. Chápu, když to byly 2 roky (a neexistovali dobře podporovaní klienti pro automatizaci), že to člověk vždycky udělal ručně. A pak už je to takové to běžné dilema "náklady na dělání ručně vs. náklady na nastavení, otestování a udržování automatizace". Ale to je snad už v současnosti jednoznačně na straně automatizace (doufám, že nikdo nezařizuje LE certifikáty každé 3 měsíce ručně), a pak už je snad té automatizaci jedno, jestli běží každé 2 měsíce nebo každý měsíc.

S čím jsem teda trochu narazil bylo, že se posílalo zařízení klientovi, a chtěli jsme mít webové rozhraní, přes které si bude moci sám nastavit připojení k internetu (aby to nemusel dělat přes command-line). Jenže když během přepravy certifikát expiruje, tak se pak k tomu rozhraní nedostane, a certifikát si to nemůže obnovit, když to nemá internet. Jak by se tohle mělo řešit? (kromě 20 let starého "otevřete si http://192.168.1.1 bez zabezpečení" :))

PS: chápu, že někomu certbot nevyhovuje - mně také ne. Nezoufejte a koukněte na alternativy, je jich spousta. Já zakotvil u acme-tiny.

Jenže když během přepravy certifikát expiruje, tak se pak k tomu rozhraní nedostane, a certifikát si to nemůže obnovit, když to nemá internet. Jak by se tohle mělo řešit?
Předpokládám, že jde o připojení zařízení k WiFi (při připojení k ethernetu nebývá potřeba na linkové vrstvě nic konfigurovat, a na IP vrstvě to řeší RA, DHCPv6 nebo případně DHCP).

Tam moc nevidím problém s certifikátem, ale ještě dřív. Několikrát jsem viděl, že zařízení vytvoří vlastní WiFi síť, k té se připojíš mobilem a nakonfiguruješ zařízení. Tam ale vidím větší problém, než v expiraci certifikátu, v tom, že bys musel mít certifikát vystavený na privátní IP adresu. A nebo použít nějaký veřejný DNS záznam, pro něj mít v zařízení certifikát a mít v tom zařízení i DNS server překládající tuhle doménu. Pak by byl opravdu problém „jen” s expirací certifikátu.

Podle mne na to zatím žádný standard neexistuje, ale byl by nějaký potřeba. Chtělo by to využít toho, že to zařízení mám někde fyzicky blízko, takže pro úvodní konfiguraci použít Bluetooth, hůře NFC, nejhůře QR kód – a v této fázi ověřit, s jakým zařízením komunikuju, a případně i vyměnit nějaké klíče. Dneska už máme v prohlížečích Web Bluetooth i Web NFC, takže by neměl být problém celé to zařídit s prohlížeče v mobilu.

Současný postup, že se zařízení vytvoří vlastní WiFi síť, se mi moc nelíbí – musím kvůli konfiguraci odpojit z WiFi sítě, kde je normálně, čímž často přijde o internetovou konektivitu. Naopak by se mi líbilo, kdyby mobil na začátku tomu zařízení konektivitu do internetu zprostředkoval.

Já bych teda nechtěl, aby zařízení mělo bluetooth nebo NFC jenom kvůli nastavení, když to jinak není potřeba. To vidím jako velké riziko. On by nebyl problém ani využít ethernet (samozřejmě, že záleží na zařízení, osazovat robotický vysavač ethernetem nedává smysl), jenže výrobci notebooků jsou úplně mimo a ethernetem neosazují už ani pracovní notebooky, viz Lenovo a jeho ThinkPady. Pak už zbývá něco jako ethernet přes USB, ale nedokážu si to moc představit. Celkově ten současný stav není ideální a spousta výrovbců pak sahá po nějakém "cloudovém" prostředníku.