neprihlásený Štvrtok, 16. júla 2026, dnes má meniny Drahomír
Let's Encrypt pridá jednoduchšie vydávanie certifikátov cez DNS v druhom štvrťroku

Značky: SSL / TLSweb

DSL.sk, 19.2.2026


Populárna certifikačná autorita Let's Encrypt, ktorá ponúka certifikáty pre SSL / TLS pre weby zdarma, plánuje začať poskytovať jednoduchší spôsob overovania vlastníctva domény cez DNS pri vydávaní certifikátov v druhom štvrťroku tohto roka.

Let's Encrypt o tom informuje v aktuálnom oznámení.

Pre vydanie certifikátu pre danú doménu musí certifikačná autorita samozrejme overiť, že certifikát vydáva vlastníkovi domény. Jednou z metód podporovaných Let's Encrypt je metóda DNS-01, ktorá vyžaduje vytvorenie vždy nového DNS záznamu pre danú doménu pri každej výmene certifikátu.

Pri manuálnej obnove certifikátu je to krok navyše, pri automatizovanej obnove musí mať zase softvér práva meniť DNS záznamy. V minulom roku bola navrhnutá v pracovnej skupine IETF ACME nová metóda DNS-PERSIST-01, ktorá umožňuje overovať vlastníctvo domény trvalým záznamom v DNS. Pri opakovanej výmene certifikátov tak už nie je potrebné do DNS zasahovať.

Let's Encrypt už v minulom roku avizovala, že podporu DNS-PERSIST-01 plánuje pridať v tomto roku. Podľa aktuálneho oznámenia ju plánuje nasadiť v produkčnom prostredí v druhom štvrťroku.

V aktuálnom oznámení metódu bližšie popisuje vrátane voliteľných nastavení, ktoré bude zrejme podporovať.



Najnovšie články:

Záporná cena elektriny v SR už môže klesnúť až na -600 eur za MWh
Synology opäť v NAS-och zásadne znevýhodňuje HDD a SSD iných značiek
Elektronické schránky na Slovensko.sk budú mať takmer dvojdňovú odstávku
Starlink výrazne zmenšil štandardnú anténu
V USA ďalší pokus o zrušenie posúvania času, má zostať letný čas
Na ISS úspešne priletela ďalšia misia
Windows 11 už umožňuje zakázať aktualizácie na neobmedzene dlho
Google financuje viac ako gigawattovú fotovoltaickú elektráreň a LiFePO4 úložisko
Firefox bude mať novú verziu každé dva týždne
Predaje smartfónov výrazne klesajú, tvrdo na to doplácajú čínski výrobcovia


Diskusia:
                               
 

Dávno som potreboval niečo takéto. Samozrejme, že každý hujer povedal, že to kvôli bezpečnosti nie je možné, ale tak predsa sa dá. Akurát, že podľa Murphyho sa dobré riešenie nájde až po vyskúšaní všetkých zlých. Možno časom vznikne aj HTTP-PERSIST-01
Odpovedať Hodnotiť:
 

Áno, ja som preto napísal komplikovaný spagetti code python skript, ktorý nerobí nič iné ako pridáva a vymazáva DNS challengy Let's encryptu, aby si mohol aktuálnu v doméne overiť a keď mi vydá certifikát, tak post-hook ten bordel zas vymaže, aby to tam nepáchlo v tom Zone fajle.
Odpovedať Hodnotiť:
 

Myslite ze sa daju certifikáty pre SSL / TLS upravovat v notepade++?
Odpovedať Hodnotiť:
 

Teoreticky ano, ale SSL/TLS certifikáty sú base64 encodované.
Takže tam moc nenapravíš, lebo vyklepnúť text ti dokáže len také niečo ako `openssl x509 -in cert.pem -noout -text`.
Odpovedať Hodnotiť:
 

Teraz som to vyskúšal, je to ešte horšie ako som predpokladal.
Keď si označíš certifikát a vyklepneš ho cez base64 do ASCII podoby, tak vidíš názvy a dokonca dátumy platnosti, ale inak je tam kopec šrotu, takže to vyzerá byť z veľkej miery binary fajl. Čiže na editovanie niečoho takého je text editor nevhodný.

Problém je ale v zmysle takého cviku, keďže ten certifikát je protiváha privátnemu klúču a ten by už skrz zmenený certifikát nefungoval, inak povedané taký certifikát by bol na hovno.
Odpovedať Hodnotiť:

Pridať komentár