Vlákno názorů k článku Let's Encrypt vymění řetězec důvěry a nasadí nové mezilehlé certifikáty od Vladki - K tomu pinovani vlastního klíče... Myslel sem ze...

K tomu pinovani vlastního klíče... Myslel sem ze acme klienti pri každém prodloužení generují i nový klíč, nebo se pletu?

To záleží na klientovi a jeho nastavení. ACME protokol to nijak neomezuje, ani by to nedávalo smysl (a nebylo by to prakticky vynutitelné).

Proč by to nebylo prakticky vynutitelné? Součástí certifikátu, který CA podepisuje, přece je i veřejný klíč, ten by mohla porovnat se všemi již použitými (třeba i u jiných CA a domén, díky certificate transparency). Tím neříkám, že se to tak děje nebo že by se tak mělo dít, jen že vynutitelnost by tu IMHO byla.

Právě že by musela ověřovat i to, zda klíč nebyl použit ani pro certifikát vydaný jakoukoli jinou autoritou. Přičemž ani neexistuje jeden seznam autorit, na kterém by se shodl celý svět. CT by se dalo použít pro doménové certifikáty, ale ne pro jiné typy certifikátů, které na CT být nemusí.