Vlákno názorů k článku Let's Encrypt v praxi: jak jsem přešel na HTTPS od PD - Bez hvězdičkovýho certifikátu si neumím nasazení vůbec představit...

Ne, budete mít jeden certifikát, ve kterém budou pod Subject Alternative Name uvedeny všechny domény. Pokud máte nějakou standardní konfiguraci, kterou utilita rozpozná, mělo by k žádosti o takový certifikát a ověření všech domén dojít automaticky.

do DNS se dá hvězdička
Z toho je víc škody než užitku. Když to chcete mít pořádně, budete registrovat jednotlivé domény, a do té registrace přidáte i to vytvoření certifikátu.

Protože to dělá něco jiného, než si nejspíše myslíte, že to dělá (například hvězdička se uplatní jedině tehdy, pokud neexistuje daná doména, nestačí, že neexistuje daný specifický záznam), a protože specifikace není moc přesná, takže se interpretuje různě.

Já bych spíš čekal, že budou nějaké adresy i v té hlavní doméně. Že si třeba někdo nastaví doménu list.example.com pro poštovní konferenci, a pak se bude divit, že mu nefunguje web list.example.com, když je tam přece hvězdička a pro všechny ostatní poddomény to funguje.

Když chce Let's Encrypt ukázat, jak se to má dělat správně, nebylo by asi vhodné podporovat chybný usecase.

Jirsaku ty ses fakt povedl. Aneb jak politicky jit proti uzivatelum kteri maji sve problemy. Resim uplne stejny problem - mam *.domena.tld kde hvezdicka je username a tech je x desitek tisic. Proste to tak chci a potrebuju. Fakt je to ta tvoje rada nejaka hitparada? Tohle je cely to vase slavny vynuceny https pres mrtvoly. horsi jak grínpis.

Pokud se vám ta rada nelíbí, tak se jí neřiďte.

To je fakt neuvěřitelný. Někdo představí nějakou službu nebo popíše, jak něco dělá, načež se seběhnou místní trollové, j/x/fd, Seti, Lol Phirae a to_je_jedno, a začnou nadávat, že oni takovou službu vůbec nepotřebují, tak jak si někdo může dovolit něco takového nabídnout, jak někdo mohl o něčem takovém vůbec začít přemýšlet. Tak se s tím děcka smiřte, že nejste pupkem světa, že si někdo klidně může dovolit nabídnout službu, kterou vy k ničemu nepotřebujete, že někdo může věci dělat jinak, než vy. Nemusíte pořád všem vnucovat, že váš pohled na svět je jediný správný a tvářit se, že každý, kdo něco dělá jinak, než vy, je přinejmenším úplný debül.

A je to taková zátěž?

(Mimochodem, certifikát se při registraci nebude měnit, ale přidávat…)

A pokud dosáhnete takového množství uživatelů, že to bude významná zátěž pro servery, jistě peníze za wildcard certifikát od jiné CA už budou pouze drobné.

Myslím, že LE prostě řeší velkou část use cases zadarmo. Buďme za to rádi. Že neřeší některé edge cases – no a co? Svoje místo tu má i bez nich a řešení takovýchto edge cases by stálo mnoho sil s malým výsledkem.

Pokud budete mít tolik uživatelů, že to bude generovat významnou zátěž serveru (a pokud nemáte dost velký edge case jako třeba tisíc nových subdomén denně na jednoho uživatele), pak stejně budete muset řešit nějaké financování serverů i bez HTTPS. (Ať už reklama, nebo sponzorské dary.) A ten wildcard certifikát už asi nebude tak velká nákladová položka. Ale pochybuju, že třeba pro root blog by tento postup byl až takový problém.

A jaký vidíte problém s bezpečností?

Ty vazby podle mne nejsou zbytečné. Naopak díky tomu máte podchycenu vazbu, která reálně existuje, ale kterou dnes stavíte jenom na shodě nějakého textu ve webovém prohlížeči.

To, že dnes konfigurujete web server, je přece jenom takový workaround. Ideální řešení je přece takové, že máte web server napojen na tu databázi (takže hlavičku Host hledá v té databázi), DNS server také, no a žádnou externí utilitu volat nebudete, protože ten přímo v té aplikaci zakládající nový záznam do DB bude i vystavení certifikátu přes ACME a zápis toho certifikátu do databáze (odkud ho bude načítat ten web server).

Někdo má aplikaci udělanou tak, že nic překopávat nemusí. Pokud vy ji máte udělanou tak, že byste musel úplně všechno překopávat, zvážíte, jestli to pro vás má význam nebo nemá. Mně to rozhodování připadá celkem jednoduché, nevidím důvod, proč o tom v několika komentářích mudrovat v diskusi. Zatímco vy se tváříte, jako by vás k té změně někdo nutil a vám se do toho vůbec nechtělo.

No a? Tak 50x změníte certifikát. PKI s tím nemá problém.

Tak pak určitě každý den usuzujete, že někdo hacknul Google.

Používání různých certifikátů k témuž jménu nikomu neznemožňuje nalezení problému s MiTM. Máte seznam důvěryhodných autorit, pokud některá z nich vydala certifikát, pak věříte tomu, že je certifikát pravý. To, že je obecně známo, že někteří ověřují certifikáty špatně, opravdu neznamená, že je dobrý nápad podporovat to chybné ověřování.

Vy se toho vysvětlení nedočkáte. Jinak tady v diskusi už to napsáno bylo. A i kdyby na nich nic špatného nebylo, Let's Encrypt se svobodně může rozhodnout takové certifikáty nevydávat.

To ale plyne z toho, že nechápete význam certifikátu. Certifikát znamená, že nějaká autorita něco potvrzuje – důležitý je tam tedy ten podpis. Ten ověřujete (resp. za vás to dělá prohlížeč) – a je jedno, jestli je to ten samý certifikát jako před hodinou, nebo jestli je to nějaký jiný.

Záleží na implementaci.