Hlavní navigace

Názor ke zprávičce Mozilla také zkrátí platnost HTTPS certifikátů na jeden rok od Filip Jirsák - Ad 1. – Generičtí ACME klienti jsou určeni...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 23. 7. 2020 10:48

    Filip Jirsák

    Ad 1. – Generičtí ACME klienti jsou určeni pro použití na vlastní serveru, ne pro sdílený hosting. Pokud bude mít sdílený hosting nastavený taková oprávnění, že klienti budou používat ACME klienty dle vlastního výběru, budou mít oprávnění přenačíst konfiguraci serveru kvůli přenačtení certifikátu, budou mít úplně jiné problémy, než že mohou vystavit certifikáty pro jinou doménu.

    Ad 2. a 3. – To vůbec nesouvisí s platností certifikátů ani s LE, to je prostě obecná nevýhoda DV certifikátů.

    Krátká platnost certifikátů s DV certifikáty nijak nesouvisí, stejný smysl dává i u OV a EV certifikátů.

    Kontrola ze strany správců je věcí organizace. Pokud jako své statutární zástupce určí organizace 50 lidí, bude těch 50 lidí moci získat EV certifikát – a také mnohem horší věci. A je to chyba té organizace. Pokud dá ta organizace 50 lidem právo spravovat DNS, bude těch 50 lidí mít možnost získat DV certifikáty, případně tu možnost delegovat dalším lidem. Opět, je to chyba té organizace. Ano, může dojít k chybě, že CAA záznam nebude nastaven. Stejně tak může dojít k chybě, že nebude nastaven A záznam – což bude mnohem větší problém. A mechanismy kontroly A a AAAA záznamů se dají použít i na kontrolu CAA záznamů. Stejně tak politiky.

    Takže organizace, která to chce mít zabezpečené, má tu možnost. Pokud to někdo zabezpečit nechce, žádným způsobem ho k tomu nedonutíte. Šifrujeme, abychom chránili. Pokud se někdo spokojí s malou ochranou, má jí. Pokud někdo chce větší ochranu, nic mu nebrání v tom, aby ji měl.