Vlákno názorů k článku
Platnost TLS certifikátů bude v roce 2029 omezena na 47 dní od RRŠ - Doufám, že ty certifikáty taky zlevní (není vše...

Doufám, že ty certifikáty taky zlevní (není vše od LE).
A určitě to byde znamenat dost podstatný zásah do (našich) korporátních procesů, protože aktuálně je obnova externího certifikátu akce na 4 týdny (požádat, nechat schválit obchoďákem, distribuovat na protistranu a vyměnit - to vše ukončit minimálně 10 dní před koncem platnosti) a navíc probíhá po fázích testovací - produkční prostředí.
A nesmí probíhat automaticky, protože:
a) stojí to peníze a nikdo ve firmě nedovolí, aby těch pár dolarů potvrzoval nějaký automat,
b) interní systémy, na kterých to probíhá, nemají přístup k internetu,
c) infrastruktura není zvenku dostupná pro běžné ověřování.
Ona není každá HTTPS komunikace pouhou webovou stránkou...

Čekal bych, že se rozdělí to objednávání a obnovování - zaplatíte na delší období, ale obnova může být automaticky bez dalších peněz, takže první argument padne.

Už jsem to někde viděl i teď (tři roky zaplaceno, a obnovuj po roce).

A jinak znám taky pár firem (... a úřadů) kde to bude nejspíš zábava.

Ten argument nepadne. Mas spousty systemu kde to znamena restart, a ten se da naplanovat jednou rocne, ale ne co tyden.

Stejne tak tem systemum nikdo nikdy neumozni se pripojovat kamkoli ven.

Vymena certifikatu na nekterych vecech vypada spis jako trojitej bajpas ... takze to ani nijak automaticky delat nejde, protoze musis nasledne overit 158 veci ze kterych se kazda jedna muze podelat.

A cena je za vydani/obnoveni ... takze kdyz to bude treba delat casto, tak ta cena se Xnasobne zvysi.

Takze dycky v patek vypnem ty uzasny statni pasystemy ... aby se do pondelka stihly povymenovat certifikaty ...

No nejde neexistuje :)

Ted vazne, stejne az bude paltnost jeste nizsi treba 14 dni nebo 6 atp. Tak o vyresit budes muset. Ted je mozna cas to otevrit a nastavit ty procesy zavcasu nez pak becet....

ad b) přístup k internetu přece není potřeba ani pro Le - můžete ověřovat pomocí DNS
ad c) je vlastně totéž
Ona není každá HTTPS komunikace pouhou webovou stránkou...
Ne, ale jakmile jednou mám obnovený certifikát, tak to snad jde nasadit automaticky (aspoň se vyhnete lidským chybám = opomenutí některého kroku ručního postupu).
Ale těch 47 dní mi přijde už dost šílené, pokud by se ACME mechanismy obnovovalo už v půlce platnosti - a když obnovíte příliš pozdě, může vás vypéct nějaký problém, který nestačíte vyřešit.
Asi se s tím korporáty budou muset popasovat. A nebo taky ne, při jakési nesrovnalosti u e-mailu u Ericssonu, když jsme zjistili, kde je ten problém (u nich), tak odpověděli, že je to nezajímá, oni jsou Ericsson a my se máme přizpůsobit.
Vždycky je ještě možnost pro interní firemní věci mít vlastní CA a kdo to potřebuje používat, má tuto CA v seznamu důvěryhodných na svém stroji.

Zapsat něco do DNS je poměrně procesně náročný proces, navíc tam spoustu věcí ani zapisovat nesmíme, aby to náhodou něco neprozradilo o architektuře a funkčnosti interních systémů. Sice je to tak trochu security through obscurity, ale tak to prostě chodí.

U většiny těch certifikátů je nutná nějaká ruční práce, protože se nasazují poměrně hluboko v interních systémech, které nejsou na automatizaci právě stavěné - a především nejsou stavěné na příliš časté zásahy, zvlášť, pokud to je spojené s restarty či přerušením komunikace.
A zhruba polovina jde de-facto k dodavateli, což je další korporátní firma...

Vlastní CA infrastrukturu používáme na ty stovky certifikátů pro komunikační kanály, které vůbec nejdou mimo interní sítě.
Ale jak přibývá různých externích služeb (cloudy, AI...) a po internetu komunikujících zařízení, přibývá i těch externích certifikátů.

Zápis do DNS je samozřejmě možné také automatizovat, dokonce na to má protokol DNS standardizovaný opcode UPDATE, kterým je možné do zóny na dálku vkládat změny. Obvyklé nástroje pro ACME s tím počítají a umí to použít.

Rovnou zmíním, že samozřejmě není nutné automatům dávat práva k editaci celé zóny a všech jejich záznamů, ale je možné vybrat jen zvolené záznamy. Autorita hledá záznamy v subdoméně _acme-challenge. Psali jsme i o nástrojích, které slouží ke získání certifikátů přes DNS.

Netvrdím, že to nejde, jen, že je to procesně náročné.
Dostat do DNS nějaký záznam je u nás na několik týdnů (na několik dní, pokud na to je předschválený požadavek, který musí ale potvrdit dva lidé).
Jakákoliv automatizace tvrdě narazí na byrokracii.

Pořád tu z moha různých stran popisujete, že máte špatně nastavené procesy. Poněkud mi uniká, proč to tu tak košatě popisujete. Aby ostatní věděli, že někde mohou být špatně nastavené procesy? Myslím, že to ostatní vědí – a kdyby ne, stačilo to napsat v jednom komentáři? Abyste si postěžoval a ulevil si? To taky stačilo v jednom komentáři? Aby vám to někdo spravil? No to si musíte spravit sami – a to oznámení je takhle dopředu proto, abyste to věděli dostatečně dopředu, že už je nejvyšší čas to spravit.

Řekněme, že tajně doufám, že si to tu někdo z těch našich procesáků přečte, aby pochopil, že někdy je taky potřeba těm technickým záležitostem uhnout a ty procesy přizpůsobit, nikoliv jen naopak. ;-) Abychom pak nemuseli drobnou automatizaci dělat na tajňačku.
Ale hlavně se snažím upozornit, jak všechny tyhle IT záležitosti jsou ve vleku úplně jiných institucí a lidí: na jedné straně velké firmy, které se domluví na zkrácení platnosti certifikátů (protože to opravdu může zvýšit bezpečnost při prohlížení webů), a na druhé jiné velké firmy, které ty samé certifikáty používají pro zabezpečení jiného druhu komunikace, kde je to zkrácení spíše na škodu; a do toho vstupují korporátní procesy, kde o IT záležitostech rozhodují úředníci, kteří o tom příliš nevědí, a nechtějí vědět, protože jim management stanovil pravidlo: nesnažte se to pochopit, protože pak to nebudete řídit, ale necháte se tím ovlivnit.
Rok 2029 je zatraceně blízko - a mám vážnou obavu, že na tak radikální změny je ta doba prostě příliš krátká. Jednoduché nasazení ACME scriptu a pár zápisů do DNS totiž v mnoha případech stačit nebude...

Pokud Vám ty komentáře vadí, přeskakujte je. Já si rád přečtu odpovědi, které mne (nás) mohou nasměrovat. Myslím, že od toho tu ta diskuse je.
(Bagatelizace ve stylu: tak to prostě bude, nestěžuj si, co vrchnost činí, dobře činí..., ale moc nepomůže.)

No, to říká ten pravý, abychom šetřili počty komentářů.

Že to nuceně rozhýbe zkostnatělé korporáty a jejich mnohdy až nesmyslné procesy mi přijde pozitivní.

A vite, ze na svete jsou nejen korporaty? Korporaty na to maji aspon lidske a financni zdroje to nejak vyresit. Ale co male firmy?

Priklad:
pro HA haproxy, bezici v rezimu primary/secondary - tedy provoz je smerovan jen na jednu. Primarni proxy si klidne automatizuje certifikaty pres http-01 acme. Ale co sekundarni? A s dns-01 na me nechodte, na te proxy jsou treba projekty s domenou zakaznika, do tech dns pristup neni.

Takze musi vzniknout centralni bod, ktery bude resit http/dns varianty a jeste bude muset spoustet rekonfiguraci CELE infrastruktury, protoze nebude vedet, kde ten certifikat je nasazeny, napr. v pripade wildcardu, nebo daneho certifikatu v HA prostredi na vice mistech.

A to se musi nejen automatizovat aktualizace, ale musi se "automatizovat" i orchestracni nastroj.

15. 4. 2025, 08:53 editováno autorem komentáře

A je takový problém to "švenknout" na záložní a nechat si vystavit nový certifikát přes http-01 nebo prostě ten vystavený certifikát rozkopírovat?

Kdysi jsme s kamarádem zkoušeli roztlačit vagón. Šlo to překvapivě dobře...
...ale nebylo v lidských silách ho zase zastavit.

Taková prkotina korporátní procesy nerozhýbe - jen nabobtnají a zduří.

No, ještě skoro nedávno když člověk potřeboval, tak šel do lesa a nebo do kadibudky. Tak nějak se to všechno vyvíjí.
S certifikáty to bude obdobně.
Jinak myšlenka že by něco zlevnilo je nesmyslná!
Mzdy rostou úplně všude, a každá cena jakéhokoliv produktu se odvíjí od podobných ukazatelů.
Ale jinak si myslím, že se zavede automatizace na obnovu certifikátů.

Mám podobný problém. Obnova 4 TLS certifkátů. Nakonec to dopadne tak, že si vyrobíme vlastní CA a TLS cert s platností 10 let a bude po ptákách.

Jen aby vám ty 10 let platné certifikáty zkousnul web browser.

Dnešní prohlížeče už 10 let nezchroustají. I s vlastní CA se dostaneš nejvýše na dva roky.

Pristi rok budu menit root interni CA. Skutecne plati, ze treba 5y koncovy interni certifikat jiz nelze pouzit? Kde se to doctu?

Myslím, že se to zkrácení týká opravdu jen veřejných, důvěryhodných CA.
Alespoň jsem nikde nezaznamenal informaci, že by se to mělo týkat privátních.
Koneckonců i teď aktuální verze Chrome nebo Firefoxu běžně přistupují na servery, kde má jejich lokálně přidaný kořenový cert. od interní CA platnost např. 10 let.

Tohle podle mě pořád platí
https://chromium.googlesource.com/chromium/src/+/master/net/docs/certificate_lifetimes.md#upcoming:~:text=Does%20this%20apply,trusted%20by%20default.

Nicméně to neznamená, že si to jiný software nebo OS nemůže dál zkrátit.
Třeba Safari (ne macOS samotný) má své omezení na 825 dní (wtf?).
https://www.michalspacek.com/validity-period-of-https-certificates-issued-from-a-user-added-ca-is-essentially-2-years
https://www.gradenegger.eu/en/chrome-and-safari-limit-ssl-certificates-to-one-year-2020/

Browsery akceptuju certifikaty internej CA s max. lehotou platnosti 825 dni.

Kde sa to da docitat? Rozlicne roztrusene... napr. https://support.apple.com/en-us/103769.

Non-browser certifikaty mozu byt aj dlhsie, tam zalezi na aplikaciach, co akceptuju.

V takovém případě je možná jednodušší použít interní autoritu/ nechat si vystavit wildcard certifikát přes DNS nebo tak něco.