neprihlásený Štvrtok, 13. februára 2025, dnes má meniny Arpád
Let’s Encrypt pripravuje 6-dňové certifikáty, prestane posielať upozornenia na exspiráciu

Značky: SSL / TLS

DSL.sk, 3.2.2025


Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, tento rok uskutoční niekoľko zmien v poskytovaných službách.

Let's Encrypt vydávajúca štandardne 90-dňové certifikáty začne ponúkať certifikáty s platnosťou iba 6 dní. Let's Encrypt plán oznámila v decembri, v januári poskytla bližšie detaily.

6-dňové certifikáty budú k dispozícii iba ako možnosť, Let's Encrypt bude naďalej vydávať aj 90-dňové certifikáty.

Zmyslom 6-dňových certifikátov má byť lepšia bezpečnosť, keď v prípade kompromitácie kľúča krátka doba platnosti certifikátu obmedzí dopady. Taká situácia sa dá samozrejme riešiť aj v súčasnosti pri certifikátoch s dlhšou dobou platnosti pomocou ich predčasného zneplatnenia, ak sa prevádzkovateľ dozvie o kompromitácii kľúča. Tento mechanizmus ale vyžaduje funkčnú kontrolu predčasne zneplatnených certifikátov na klientoch a podľa Let's Encrypt celý systém zneplatnenia nefunguje veľmi dobre. Nové 6-dňové certifikáty nebudú podľa oznámenia ani zahŕňať OCSP a CRL adresy pre tieto mechanizmy overovania zneplatnenia certifikátov.

Let's Encrypt bude vydávať 6-dňové certifikáty aj pre IP adresy, nielen pre domény.

6-dňové certifikáty sú samozrejme vhodné, ak má server zautomatizovanú výmenu certifikátov. Let's Encrypt umožňuje automatizovanú výmenu certifikátov a zrejme často sú Let's Encrypt certifikáty nasadené takýmto spôsobom.

Prvé 6-dňové certifikáty plánuje Let's Encrypt vydať pre seba vo februári, prvým užívateľom ich plánuje sprístupniť okolo apríla a plošne ich chce sprístupniť do konca roka.

Certifikačná autorita oznámila aj ďalšiu pripravovanú zmenu, ukončenie posielania emailových notifikácií upozorňujúcich užívateľov na blížiacu sa exspiráciu ich certifikátov.

Let's Encrypt prestane notifikácie posielať 4. júna 2025. Certifikačná autorita uvádza viac dôvodov ukončenia notifikácií, okrem iného čoraz viac užívateľov má zautomatizovanú výmenu certifikátov a podpora notifikácií predstavuje pre službu náklady a ďalšiu záťaž.


      Zdieľaj na Twitteri



Najnovšie články:

V januári sa predaje elektromobilov globálne zvýšili o 18%
Nový lacnejší iPhone SE má byť nakoniec uvedený budúci týždeň
Český T-Mobile využil na poskytovanie mobilnej siete dron
Nové štatistiky kazivosti veľkých HDD
Dnes začínajú aukcie ďalších krátkych 1-znakových až 3-znakových .sk domén
Štát zatiaľ digitálne vyškolil iba 13.8-tisíc seniorov a znevýhodnených osôb
Trump v USA opäť povolí zrejme aj klasické žiarovky
Investori na čele s Muskom dali ponuku na kúpu OpenAI
Vydaná Civilization VII s významnejšími zmenami
OpenAI dokončí vývoj vlastného AI akcelerátora do niekoľkých mesiacov


Diskusia:
                               
 

To zase bude plno nefunkčných štátnych webov, lebo certifikáty budú permanentne expirované a neplatné.
Odpovedať Známka: 8.8 Hodnotiť:
 

Ach jo. Podľa tvojho vyjadrenia by mohli existovať aj permanentne expirované ale platné certifikáty?
Odpovedať Hodnotiť:
 

Šak pri kvantovej komunikácii je certifikát s nejakým externe stanoveným časom exspirácie čistý MITM. Čo má na tom platiť? Veď s takým prifareným rubbishom priekazne poriadne nefunguje ani teleportácia.
Odpovedať Známka: -6.7 Hodnotiť:
 

snad pride cas, ked novy certifikat uz bude neplatny, pre viac bezpecnosti :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak ja som si vybavil novy obciansky a o par dni sa stat postaral o to, ze musim vymenit zas obciansky inak certifikaty nezaktualizujem. Tomu vravim bezpecnost.
Odpovedať Známka: 10.0 Hodnotiť:
 

Konečne, notifikácie o exspirácii mohli zrušiť ešte pred nasadením.
Odpovedať Známka: 3.3 Hodnotiť:
 

Kompromitácia kľúča je známa aj po žiarlivostných scénach alebo nadužívaní alkoholických nápojov, keď jeden z partnerov vymení zámok a vyloží veci partnera v igelitových taškách pred dvere.
Odpovedať Známka: 5.6 Hodnotiť:
 

Takáto inciciatíva vzbudzuje pomerne rozporuplné pocity, nakoľko ak na jednej strane používateľ potrebuje na overenie dôveryhodnosti certifikačnú autoritu, ako môže len tak veriť pofidérnej exspirácii priekazne bez náležitého upozornenia.
Odpovedať Známka: -5.0 Hodnotiť:
 

U nas je zakaz pouzivat cokolvek od Let`s Encrypt, kedze sa nas uz nebavi byt v rukach suflikantov. Tato akoze kvazi certifikacna autorita si vymysla somariny bez toho aby o tom niekto vedel.

Preto pouzivame vlastny certifikat a je dobre , vsetko slape v pohode.
Odpovedať Známka: -6.2 Hodnotiť:
 

Ked vlastny certifikat, tak jedine na vlastnej domene. Idealne v style intranet.MojaSuperDuperFirma/rozcestník ... Zeby to bolo kompatibilnejsie a lahsie sa robili a udrzovali taketo standardne veci... </irony>
Odpovedať Známka: 6.7 Hodnotiť:
 

Napis podrobnosti odbornik. Takze teraz mate 1 rocne platene certifikaty a mate tak akurat dobry pocit, ze ste vynimocni.
Odpovedať Hodnotiť:

Pridať komentár