Názory k článku Let's Encrypt vymění řetězec důvěry a nasadí nové mezilehlé certifikáty

Už dříve existoval záložní RSA i ECDSA klíč pro vydávající autoritu, které by se začaly používat v případě, kdy by Let's Encrypt ztratilo možnost vydávat certifikáty z primárních klíčů. Přechod na tyto klíče by byl velmi rychlý (proto jsou certifikáty vydané dopředu). Takže pokud nějaký klient spoléhal na to, že se vydávají certifikáty vždy z jednoho konkrétního klíče, byl rozbitý už teď, akorát se na to nepřišlo.

Nově bude víc aktivních klíčů současně (podle grafického schématu se pro RSA budou používat klíče R10 a R14 a pro ECDSA E5 a E6, ostatní budou opět záložní), takže se nedá spoléhat na to, že případně mezilehlý certifikát přehodím ručně, kdyby musel LE přejít na záložní klíče.

Pak je v článku troch nepřesné, že se certifikáty vydávají z nějakého řetězce důvěry. Certifikáty se vždy vydávají z nějakého klíče, a ten je součástí jednoho nebo více řetězců důvěry (ty mohou dokonce v čase přibývat). Ty řetězce důvěry je pak možné si libovolně měnit, takže když si k vydaném u certifikátu stáhnu jeden řetězec důvěry, klidně si můžu za týden ten řetězec vyměnit. Nebo by teoreticky mohl TLS/HTTPS server posílat jednou jeden řetězec a podruhé jiný, akorát nevím, podle čeho by se rozhodl. (A vlastně jsem nikdy v žádném standardu nenašel, zda server musí posílat vždy jeden platný řetězec, nebo zda může poslat haldu certifikátů a klient ať si z toho poskládá řetězec, který mu vede k nějakému důvěryhodnému certifikátu.)

Co autor odporuca namiesto pinovania certifikatov napriklad v mobilnych aplikaciach? Lebo tam je to bezna praktika.

Nepinovat certifikát, ale veřejný klíč.

Toť sice hezké, ale pak netušíte, k čemu ty které klíče patří.
Ve výsledku taky můžete s každou kontrolou podpisu procházet desítky anonymních klíčů, a hledat, čím to jde odemknout.
Kdybych nevěděl, jak nepraktický je takový svazek neoznačených klíčů z reálného života...

Brání vám něco si ty klíče označit? Opravdu nějaká aplikace používá pining pro desítky klíčů?

Verejny kluc CA? Koncovy verejny kluc (recyklacia klucoveho paru mi pride zly napad a je to antipatern v PKI)?

Pokud jste měl předtím připíchnutý certifikát CA, pak veřejný klíč CA (kořenového certifikátu). Pokud chcete věřit jenom jednomu svému konkrétnímu klíči, připíchnul bych ten. Certifikát je tam pak jenom z technických důvodů, že protokol neumí pracovat jen s klíči – ale certifikát si k tomu klíči klidně můžete vydat vlastní s platností třeba 20 let.

Recyklace klíčového páru je podle mne v pohodě, když certifikáty měníte každý jeden až dva měsíce z technických důvodů, ale dříve tyto certifikáty měly platnost klidně dva roky nebo i víc. Recyklace klíčového páru se používá i pro certifikáty vydávající autority, protože pak můžete vydávat certifikáty s delší platností, než je aktuální platnost vydávajícího certifikátu, a pak následný certifikát vydaný se stejným klíčem „převezme“ místo v certifikačním řetězci.

V podstatě se tím řeší prodloužení platnosti certifikátu. Pokud máte privátní klíč bezpečně uložený (což máte mít tak jako tak), není v recyklaci žádný problém. To, že mají certifikáty omezenou platnost, není primárně kvůli klíčům, ale kvůli údajům, které jsou na certifikátu, a které zastarávají. Omezená platnost kvůli klíčům je kvůli těm, kteří neověřují CRL nebo OCSP – ale samozřejmě platí, že když dojde ke kompromitaci klíče, takový klíč nerecyklujete – ale to je naprostá samozřejmost, to by snad nikdo neudělal.

K tomu pinovani vlastního klíče... Myslel sem ze acme klienti pri každém prodloužení generují i nový klíč, nebo se pletu?

To záleží na klientovi a jeho nastavení. ACME protokol to nijak neomezuje, ani by to nedávalo smysl (a nebylo by to prakticky vynutitelné).

Proč by to nebylo prakticky vynutitelné? Součástí certifikátu, který CA podepisuje, přece je i veřejný klíč, ten by mohla porovnat se všemi již použitými (třeba i u jiných CA a domén, díky certificate transparency). Tím neříkám, že se to tak děje nebo že by se tak mělo dít, jen že vynutitelnost by tu IMHO byla.

Právě že by musela ověřovat i to, zda klíč nebyl použit ani pro certifikát vydaný jakoukoli jinou autoritou. Přičemž ani neexistuje jeden seznam autorit, na kterém by se shodl celý svět. CT by se dalo použít pro doménové certifikáty, ale ne pro jiné typy certifikátů, které na CT být nemusí.