Názor k článku Hardening webového serveru Apache: šifrování a certifikáty od dw - Ono se celou dobu píše jenom o webu...

Ono se celou dobu píše jenom o webu nejenom v tomto vlákně, ale v celé diskusi. Řekl bych, že to bude mít něco společného se slovy „webový server“, která jsou v nadpisu článku.
httpd server(laicky apache, pod touto hlavickou existuje mnoho dalsieho software) sice primarne komunikuje cez http protokol v1, ktory pouzival prvy browser vobez nazvany worldwideweb, skratene web, ale myslim ze my sme sa skor bavili v suvislosti s tls protokolom (certifikaty od le nemusi vyuzivat len http serrver ale mozete ich napr pouzit aj pre postfix). Naviac openssl pomocou ktoreho si ziskate certifikat serveru s httpd asi nebude komunikovat cez webovy protokol, ale je mozne ze sa len zase mylim...

Vy jste psal o aktualizacích systému, ty se dnes obvykle stahují přes HTTPS, dříve případně přes FTP.
Ak by bolo vsetko v rpm repozitari, a memusel pouzivat aj ine sluzby tak by bol moj pohlad rovnako ruzovy. Mne vsak nestaci holy server ktory je aktualny, rovnako potrebujem aj aktualne aplikacie ktore na tom servri bezia.

Mnou navržené řešení s reverzními DNS záznamy nijak nemanipuluje, tj. pokud měl ten server původně nastavený reverzní DNS záznam, bude úplně stejně fungovat i nadále.
Uz vidim ako napriklad automobilka aktualizuje klientov u vsetkych autorizovanych servisov tak aby boli vo formate ktory by sa pacil prave Vam. Pripadne napada vas nejaky jednoduchy sposob ako hromadne aktualizovat konfigy s domenovymi menani v rozsiahlej intranetovej sieti tak aby nebol naruseny chod celeho systemu?
Naviac, mudrujete tu zbytocne o kope veci ale k jednej s namietok ste sa nevyjadril. Ak potrebujem aby klient bol voci serveru overeny certifikatom a nie len server oproti klientovi, tak bud si zaplatite drahy certifikat ktory vam umozni podpisovat klientske certifikaty alebo pouzijete privatnu CA.

Myslíte, že nedostatek IPv4 adres je vrabec a NAT je kanón? Bylo by fajn, kdyby to tak bylo, a kdyby zavedení IPv6 bylo mnohem jednodušší řešení, než používat NAT. Bohužel si to ale spousta správců nemyslí.
Verim ze mi nevkladate slova ktore som nepovatl do ust zamerne, dost by ma to rozladilo ;) Kedze ale predpokladam ze ste to len nepochopil tak vysvetlim: Tym kanonom na vrabce je pouzitie proxy tam kde proste staci nat.

Vzhledem k tomu, jak se postupně víc a víc blížíme k Internet-over-HTTPS (mimo jiné a kvůli NATům), těch aplikací nepodporujících proxy servery je čím dál méně.
Je zrejme ze NAT zatracujete koli tomu ze vobec nechapte ako funguje, NAT samotny vam neodoprie sa pripojit na akykolvek port serveru ktori lezi vonku, toto uzivatelom zakazete len pomocou firewallu alebo pomocou prave proxy. Cize internetu over https skor mozete podakovat spravcom, ktory to dalej ako na spravcu nedotiahli a maju z dovodu komplexu menejcennosti potrebu nastavovat nezmyselne pravidla na proxy. Nat je v tom uplne nevinne...

Tak příště neargumentujte RFC, kde se píše to, co tvrdím já.
Tak si to rfc skuste precitat este raz, je v nom konstatovane ze niektore velke firmy pouzivaju brany na aplikacnej vrstve a nasleduje doporucenie k tomuto prikladu. Pripadne mozete mi poslat link? Myslim ze napisat fragment url adresy nebude pre vas problem napisat tak aby odkazoval na odstavec kde je vymedzeny vyhradne sposob komunikacie internej a externej siete na proxy a kde je odmitane ine riesenie, napr nat.

Vzhledem k tomu, že neznáte fakta, neměl byste se pouštět do unáhlených závěrů.
To ste adresoval sebe? Pretoze asi tazko poznate fakt ci niekto potrebuje pouzivat aplikaciu ktora nepodporuje socks. Inak by ste s tymto zaverom pockal az bude zrejme ze nikto taku aplikaciu nepotrebuje.