Názory k článku Let's Encrypt spouští podporu žolíkových certifikátů

Napadá mě využití (ale opravte mě, prosím, pokud je to nesmysl): když chci mít různé subdomény pro soukromé účely, a nemám zájem na tom, aby ten název kdekoli veřejně figuroval (v seznamech vydaných certifikátů, apod.)? V DNS ty konkrétní názvy také nemusím mít veřejně, když použiju wildcard.

To je poměrně okrajový důvod, i když může existovat. Většinou existenci služby na nějaké adrese prozradí jiné indicie, než zapsání CN nebo SAN do certifikátu.

V praxi wildcardy pomáhají např. při centrální správě v organizaci. Na reverzní proxy se spravuje jediný certifikát a správce nemusí pro každou službu přemýšlet a opečovávat certifikát zvlášť. Nevím, jestli to bude mít v případě Let's Encrypt velký úspěch. Stejně bude potřeba automatizovat ACME a obnovu certifikátu po pár týdnech a ono už není moc velký rozdíl, když už automat máte, vyžádat si 10 certifikátů vs. 1 wildcard. Při ruční, neautomatizované správě to pomáhalo - admin vyřídil byrokracii jednou za tři roky (dnes už maximálně dva roky).

Pokud chceš vyloženě vlastní certifkáty bez návaznosti na veřejné CA, můžeš použít http://blog.nic.cz/2017/12/07/vlastni-certifikacni-autorita-v-letsencrypt-kabate/

Nosočistoplena je umělé slovo vytvořené během národního obrození. Proti tomu žolík je běžně používané slovo, které je přesným překladem slova wildcard. Pokud máme v češtině běžně používaný výraz, měli bychom ho používat. Jinak skončíme s „userspacovými drivery filesystému v kernelu“.

Je to ± kalk* a ona analogie celkem sedí. Žolíka mohu použít typicky místo libovolné karty (třeba v kanastě nebo v žolíkovi, pravda, s menším omezením), žolíkový certifikát mohu použít místo certifikátu na libovolnou subdoménu. Některé kalky se ujaly více (počítač z computer), některé částečně (heap vs. halda, některé prakticky vůbec (hash vs. sekaná, hacked vs. průnikář).

Žolíkové certifikáty vidím snad poprvé, ale někdo to holt musí zkusit jako první.

*) Šlo by šťourat, že wildcard a žolík není přesně totéž. Ale „divokokaretní certifikáty“ by bylo strašně dlouhé a divné, zatímco „žolíkové certifikáty“ je kratší a stále dostatečně výstižné.

Nosočistoplena je umělé slovo vytvořené během národního obrození.

Nosočistoplena, klapkobřinkostroj apod. nebyly výmysly národního obrození, ale tehdejší satira proti někdy až příliš upjatým obrozeneckým snahám. To jen pro upřesnění.

:) nádherná diskuse. Wild card není přesně přeložitelné. Vychází to z Jolly Joker nebo Joker, pro označení karty bez bodové hodnoty, která se však nejčastěji používá jako divoká karta - karta, která zastupuje jiné. Asi striktně řečeno, žolík je jedna z divokých karet. Divokými kartami jsou i karty dohodou vybrané za trumfy.

V angličtině, wildcard certificate také nedává přímo smysl. Certifikát nesouvisí s žádnou hrou, ve které by byla určena divoká karta. Slovní spojení vzniklo tím, že funkce takového certifikátu je tak všeobecně platná, jako by se o divokou kartu jednalo. V tomto případě je ale na snadě do češtiny převzít význam spíš ve smyslu "žolíka" než ve smyslu "trumfu". Kdyby se jednalo o trumfový certifikát, naznačovalo by to spíš jeho vyšší hodnotu, než univerzálnost.

Pokud se tedy chceme přidržet karbaní terminologie, je určitě "žolík" správným kandidátem. Divoká karta je nepohodlně dvouslovná a trumf neodpovídající.

Pokud bychom chtěli od karetního označení utéct, pak můžeme uvažovat o nějakém pojmu typu "celodoménový certifikát", "univerzální certifikát domény", ..., ale to by bylo dost nepřirozené a lidem by nedocházelo spojení tak dobře, jako wildcard-žolík.

Když už bychom chtěli být přesní, tak spíše „certifikát pro přímé poddomény“ Ale to by se mi nechtělo vyslovovat…

A na používání cizích slov je něco špatného?

Není na tom nic špatného. Jen pro něčí cítění je čeština, její sloňovatelnost a ohybatelnost, příjemná. Toho se u cizích slov dosahuje hůře, nebo naprosto nepřirozeně.Někomu je také líto, že se převzaté výrazy používají jen kvůli tomu, že nikdo nechtěl zatěžovat svoje mozkové závity hledáním třeba již existujícího českého, přiléhavého výrazu. A do třetice, někomu vadí otrocké překlady a převzetí: výraz v jednom jazyce má kořen v nějaké tamější historické či kulturní události, které my nerozumíme. Je např. rozdíl dávat dárky do punčochy na krb vs. pod stromeček, nebo štědrý předvečer (chistmast eve) - den čekání na Vánoce vs. Štědrý večer, obojí 24. prosince. Je pak na místě přemýšlet, jestli překladem zbytečně náš jazyk nekomplikujeme, neimportujeme výrazy, jejichž významu ve skutečnosti nerozumíme - nebo jestli použijeme něco, co je nám blízké.

Žolíkový či hvězdičkový certifikát jsou podle mě fajn a srozumitelnější, než wildcard, pokud ovšem předpokládáme nebo chceme, aby se výraz rozšířil mezi laickou veřejnost. Pokud ho chceme používat jenom mezi odborníky, nemusíme ho překládat, nebo dokonce můžeme komunikovat jen anglicky - což je poměrně časté v mnoha vědních oborech, ale trochu se bojím, že úroveň IT zdaleka nedosahuje dostatečně vysoko, abychom mohli očekávat takovou sci-fi, jako je angličtina na komunikativní úrovni.

Vzpomněl jsem si na úvahu na http://www.proofreading.cz/historie-anglictiny-14-dil-latinska-terminologie/ – nejde o celý článek, ale jen o krátkou sekci Výhody a nevýhody.

"Nosočistoplena je umělé slovo vytvořené během národního obrození."
- už v době vzniku bylo myšleno jako vtip pokukazující na křečovité počešťování všeho a za každou cenu.

Žolík je zavedený překlad pro wildcard

To, že to napíše někdo na Wikipedii neznamená, že je to zavedené. Je to jeden z termínů, co se používá a bojuje o svoje místo na slunci.

Mě nepobuřuje.

Je pravda, že spojení žolíkový certifikát nachází Google jen v mých vlastních textech. Ale někdo s tím začít musí :D

Akorat ze se uz docela dobre zabydlel termin "hvezdickovy certifikat"

> Taky nerikam bunkovy telefon, signalizacni system 7 nebo protokol kontroly prenosu. Uz ted kdyz pisu tak si rikam o cem vlastne pisu:)

Možná to je jen kvůli délce…

Ad absurdum lze argumentovat na obě strany. Mohli bychom z angličtiny přejímat všechno, a časem mluvit jen anglicky.

BTW, pokud ten protokol kontroly přenosu má být TCP, tak to je protokol řízení přenosu.

To je pravda, hledat řešení problémů v neexistujícím jazyce je marný! (ISO 639-1) :)

Pokud někoho nenapadá racionální použití, tak např. wildcard potřebuje Sandstorm
https://docs.sandstorm.io/en/latest/administering/wildcard/

Pokud to dobře chápu, při použití CNAME dávám třetí straně možnost si vystavit vlastní certifikát libovolnou autoritou, která používá ACME DNS challenge. Kdybych ale použil DNAME, mohu to delegovat na vlastní DNS server, ne?

To můžete tak i tak. Ostatně ten režim DNS alias je myšlen tak, že obě domény jsou vaše, jen z nějakého důvodu nechcete nebo nemůžete tu hlavní doménu hostovat u poskytovatele, který nabízí API pro editaci DNS záznamů.

DNAME slouží k přesměrování celého podstromu. Moc se nepoužívá a v komunitě lidí kolem DNS není příliš oblíben.

Jo takto, já myslel, že autoři ACME.sh nabízejí takovou službu.

S DNAME se taky moc nepotkávám, ale přijde mi to jako praktické řešení takové situace, jednodušší a praktičtější než CNAME. DNS server mohu provozovat na stejném serveru, ze kterého žádám o certifikát.

No, jestli si přesměruju pouze _acme-challenge.exam­ple.com, nebo i celý podstrom, to už je IMHO celkem jedno.

Aha, špatně jsem to přečetl, šlo by asi spíš o NS záznam. Ten by umožnil přesměrování na DNS server přímo.

Tak to skutečně jde. Implementoval jsem si k tomu účelu i jednoduchý DNS server, který čte tokeny z adresáře: https://gist.github.com/v6ak/52aaf19ee71f5528dfa8d0def991d27a

Co si mám představit pod „fake certifikát“?

a. Neplatný certifikát – k tomu CT neslouží.
b. Certifikát vydaný někomu, komu nepatří – wildcardy tu nic nemění.
c. Certifikát po technické stránce naprosto vpohodě, ale na doménu, která se plete s jinou – pravda, tady to wildcardy ztěžují, ale skrýt lze pouze jednu (nejnižší?) úroveň.

Případ (c) je právě ten problém. Doteď stačilo sledovat v CT certifikáty, které začínají na, řekněme, paypal a teoreticky bylo možné proti phishingu zakročit ještě předtím, než stihl útočního rozeslat e-maily. S wildcardem se takové doménové jméno odhalí až v momentě, kdy ho najde třeba Google crawler.

Doteď stačilo sledovat v CT certifikáty, které začínají na, řekněme, paypal a teoreticky bylo možné proti phishingu zakročit ještě předtím, než stihl útočního rozeslat e-maily.

No to je právě chybné uvažování. Zpětné vychytávání z CT logu je metoda jakési zpětné, heuristické analýzy. Nikdy nebude dobrá, bude zatížená falešně pozitivními výsledky apod.

CT je drbátko na drbátko, a sledování CT je drbátko na drbátko na drbátko. Sakra, blechy nikde, ale proč mám rozedřenou kůži?

Certificate Transparency je určeno právě k tomu sledování, aby bylo možné chybně vydaný certifikát odhalit hned, jak je vydán, a ne až v okamžiku, kdy řešíte průšvih, že se na něj někdo nachytal. Samozřejmě, není to ideální řešení, ale je to celkem rozumná pojistka ve světě, kde existuje spousta certifikačních autorit akceptovaných jako důvěryhodné, přičemž bezpečnost verifikace vlastníka doménového jména je dost pochybná. Ideální řešení by samozřejmě bylo DV certifikáty úplně zrušit a veřejné klíče načítat z DNS, jednou do toho stavu možná dospějem, ale CT „jen“ zlepšuje aktuální stav.

V článku se nepíše, že obnova wildcard certifikátů bude pouze manuální. Certifikát je možné vystavit po dobu životnosti validace, ta je v současné době 90 dnů.

Takže ve dni 0 provedete validaci a vydáte si první certifikát, s platností do dne 89. Ve dni číslo 89 ještě můžete získat další certifikát, až do dne číslo 178, pak už ale určitě musíte provést novou validaci. Tedy v okrajovém případě, je potřeba dělat validaci aspoň jednou za 178 dnů. V praxi to bude častěji, protože není dobrý nápad obnovovat certifikáty poslední den jejich platnosti.

Má to API nebo podporu NS záznamů?

Je poněkud sporné, jestli je dobrý nápad mít DNS na vlastní infrastruktuře. U nadnárodní firmy klidně, ale u něčeho (bez urážky) garážovějšího v tom vidím více komplikací než přínosu. A použít DNS server providera jako sekundár – dá se to u Active24 nastavit tak, aby se synchronizoval s primárním serverem automaticky? Trochu o tom pochybuju.

Proto jsem navrhoval použít ten NS záznam. Znamenalo by to sice vlastní DNS, ale jen pro malý subset subdomén. A ani by nemusel běžet stále.

Pokud tam tu doménu máte jen kvůli tomu, tak ji převeďte k někomu, u koho už API někdo zprovoznil. Výběr pro acme.sh se dá najít zde: https://github.com/Neilpang/acme.sh/tree/master/dnsapi

Zdravím, nevíte prosím o řešení které by se dalo použít pro NS u Wedosu? Nechtěl bych vymýšlet kolo.
Vlastní DNS server mi přijde jako overkill

Je nejlepší řešení použít DNS servery někoho jiného - ze seznamu podporovaných klientem?

Díky

a. Wedos má WAPI, přes které by to šlo implementovat.
b. Lze použít FreeDNS od NameCheap.
c. Lze mít vlastní DNS pouze na ty záznamy a u providera mít NS záznam (pokud ho podporuje).

Několik domén mám u Forpsi (přeci jen jsou asi jedni z nejlevnějších), DNS validaci jsem chtěl použít už dřív, i před možností wildcard certifikátů, tak jsem se jich ptal po API, ale asi to považují za zbytečné... Nevíte někdo o registrátorovi domén, co by měl podobné ceny? Nebo by se teď mohl trochu zvednout tlak na ně?

Aha, tak teď se dívám, že třeba i zde zmiňovaný Wedos už má CZ domény za 151 Kč na rok s daní. Za tuhle cenu to právě dřív bylo u Forpsi. Ale Forpsi teď koukám nějak zdražilo, na 156 Kč. A když jsem se před časem díval, byl ten Wedos myslím dražší... No tak fajn, tak aspoň bude o důvod víc, proč případně domény převést. Nebo jim ještě zkusím napsat: Pořád nechcete zavést API? Fajn, tak jelikož jste ještě ke všemu dražší, nevím proč u Vás zůstávat...

jooo, registrace domen to je kseft jak hovado!
a wedos zase ten nejspolehlivejsi hosting ktery nema problemy a ma brutalne rychly servery.
a bures neni stbak.

Aha, tak teď se dívám, že třeba i zde zmiňovaný Wedos už má CZ domény za 151 Kč na rok s daní. Za tuhle cenu to právě dřív bylo u Forpsi. Ale Forpsi teď koukám nějak zdražilo, na 156 Kč.

Hehe, právě jste prodiskutoval cenu domény asi tak na 2 roky dopředu. Pokud jste dělal rešerši, kdo je nejlevnější, tak na další 2 roky :). A teď budete několik hodin řešit, jak nekoupit wildcard certifikát (nebo mít jen obyčějný) a mít ho zadarmo v kombinaci s nejlevnějším poskytovatelemem DNS :). To je výborný!!!

Místo, kde máte zaregistrovanou doménu vůbec nesouvisí s místem, kde provozujete DNS. Můžu doporučit třeba přesunout DNS na Cloudflare – je to zdarma, splňuje to všechny moderní požadavky jako DNSSEC a IPv6, má to API, které je přímo podporované v ACME klientech (minimálně certbot a acme.sh). Jako třešničku na dortu můžete (ale nemusíte!) využit i jejich CDN: https://www.root.cz/clanky/webhosting-s-cloudflare-bezpecna-cdn-zdarma/