neprihlásený Pondelok, 3. februára 2025, dnes má meniny Blažej
Let’s Encrypt pripravuje 6-dňové certifikáty, prestane posielať upozornenia na exspiráciu

Značky: SSL / TLS

DSL.sk, 3.2.2025


Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, tento rok uskutoční niekoľko zmien v poskytovaných službách.

Let's Encrypt vydávajúca štandardne 90-dňové certifikáty začne ponúkať certifikáty s platnosťou iba 6 dní. Let's Encrypt plán oznámila v decembri, v januári poskytla bližšie detaily.

6-dňové certifikáty budú k dispozícii iba ako možnosť, Let's Encrypt bude naďalej vydávať aj 90-dňové certifikáty.

Zmyslom 6-dňových certifikátov má byť lepšia bezpečnosť, keď v prípade kompromitácie kľúča krátka doba platnosti certifikátu obmedzí dopady. Taká situácia sa dá samozrejme riešiť aj v súčasnosti pri certifikátoch s dlhšou dobou platnosti pomocou ich predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Tento mechanizmus ale vyžaduje funkčnú kontrolu predčasne zneplatnených certifikátov na klientoch a podľa Let's Encrypt celý systém zneplatnenia nefunguje veľmi dobre. Nové 6-dňové certifikáty nebudú podľa oznámenia ani zahŕňať OCSP a CRL adresy pre tieto mechanizmy overovania zneplatnenia certifikátov.

Let's Encrypt bude vydávať 6-dňové certifikáty aj pre IP adresy, nielen pre domény.

6-dňové certifikáty sú samozrejme vhodné, ak má server zautomatizovanú výmenu certifikátov. Let's Encrypt umožňuje automatizovanú výmenu certifikátov a zrejme často sú Let's Encrypt certifikáty nasadené takýmto spôsobom.

Prvé 6-dňové certifikáty plánuje Let's Encrypt vydať pre seba vo februári, prvým užívateľom ich plánuje sprístupniť okolo apríla a plošne ich chce sprístupniť do konca roka.

Certifikačná autorita oznámila aj ďalšiu pripravovanú zmenu, ukončenie posielania emailových notifikácií upozorňujúcich užívateľov na blížiacu sa exspiráciu ich certifikátov.

Let's Encrypt prestane notifikácie posielať 4. júna 2025. Certifikačná autorita uvádza viac dôvodov ukončenia notifikácií, okrem iného čoraz viac užívateľov má zautomatizovanú výmenu certifikátov a podpora notifikácií predstavuje pre službu náklady a ďalšiu záťaž.

      Zdieľaj na Twitteri



Najnovšie články:

Nginx v Česku predbehol Apache
Počet elektromobilov na Slovensku prekročil 15-tisíc
Civilization VII s významnejšími zmenami príde budúci týždeň
Priemerná cena iPhonu prekročila 900 dolárov, Xiaomi je 6-krát nižšia
V novom Chrome a ďalších prehliadačoch pre Windows má text zlepšený kontrast
LibreOffice dosiahol 400 miliónov stiahnutí
Počítač ani v nedávnych Teslách nezvládne plnú samojazdiaciu funkčnosť, bude sa musieť meniť
Apple zaznamenala vo štvrtom štvrťroku rekordné príjmy
V Európe sa ako nové predávajú veľké HDD od Seagate používané už desiatky tisíc hodín
Netflix pridal na iPhonoch a iPadoch sťahovanie celých seriálov


Diskusia:
                               
 
Ajajaj...
Od: kecalek | Pridané: 3.2.2025 11:55

To zase bude plno nefunkčných štátnych webov, lebo certifikáty budú permanentne expirované a neplatné.
Odpovedať Známka: 7.8 Hodnotiť:
 
Re: Ajajaj...
Od reg.: lenja | Pridané: 3.2.2025 16:55

Ach jo. Podľa tvojho vyjadrenia by mohli existovať aj permanentne expirované ale platné certifikáty?
Odpovedať Hodnotiť:
 
ultraumiernený prakticizmus
Od: syntaxterrorXXX, . Y | Pridané: 3.2.2025 19:54

Šak pri kvantovej komunikácii je certifikát s nejakým externe stanoveným časom exspirácie čistý MITM. Čo má na tom platiť? Veď s takým prifareným rubbishom priekazne poriadne nefunguje ani teleportácia.
Odpovedať Hodnotiť:
 
letsss
Od: erferf | Pridané: 3.2.2025 11:58

snad pride cas, ked novy certifikat uz bude neplatny, pre viac bezpecnosti :)
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: letsss
Od: 3xo | Pridané: 3.2.2025 13:26

Tak ja som si vybavil novy obciansky a o par dni sa stat postaral o to, ze musim vymenit zas obciansky inak certifikaty nezaktualizujem. Tomu vravim bezpecnost.
Odpovedať Hodnotiť:
 
Nekonečne!
Od: sytaxpyco | Pridané: 3.2.2025 12:44

Konečne, notifikácie o exspirácii mohli zrušiť ešte pred nasadením.
Odpovedať Hodnotiť:
 
Určité analógie.
Od: Baltazár Kokoschka | Pridané: 3.2.2025 12:56

Kompromitácia kľúča je známa aj po žiarlivostných scénach alebo nadužívaní alkoholických nápojov, keď jeden z partnerov vymení zámok a vyloží veci partnera v igelitových taškách pred dvere.
Odpovedať Známka: 5.0 Hodnotiť:
 
ultraradikálny konsenzualizmus
Od: syntaxterrorXXX, . Y | Pridané: 3.2.2025 13:15

Takáto inciciatíva vzbudzuje pomerne rozporuplné pocity, nakoľko ak na jednej strane používateľ potrebuje na overenie dôveryhodnosti certifikačnú autoritu, ako môže len tak veriť pofidérnej exspirácii priekazne bez náležitého upozornenia.
Odpovedať Známka: -3.3 Hodnotiť:
 
u nas vo firme
Od: Quanti | Pridané: 3.2.2025 13:36

U nas je zakaz pouzivat cokolvek od Let`s Encrypt, kedze sa nas uz nebavi byt v rukach suflikantov. Tato akoze kvazi certifikacna autorita si vymysla somariny bez toho aby o tom niekto vedel.

Preto pouzivame vlastny certifikat a je dobre , vsetko slape v pohode.
Odpovedať Známka: -6.7 Hodnotiť:
 
Re: u nas vo firme
Od: frfer | Pridané: 3.2.2025 14:22

Ked vlastny certifikat, tak jedine na vlastnej domene. Idealne v style intranet.MojaSuperDuperFirma/rozcestník ... Zeby to bolo kompatibilnejsie a lahsie sa robili a udrzovali taketo standardne veci... </irony>
Odpovedať Hodnotiť:

Pridať komentár