Názor k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci? od Danny - Ano, my se porad primarne bavime o expiraci...
-
DannyStříbrný podporovatelAno, my se porad primarne bavime o expiraci hesel, ne o expiraci technickych prostredku okolo. Expirace hesel je proste spatna vec, kterou nejde obhajovat expiraci technickych prostredku okolo. A ano, IT/bezpecaci maji resit ty technicke prostredky - ne buzerovat s temi hesly.
Zrovna u tech technickych prostredku se snadno muze narazit na to, ze se neco rychle rozjebe, ostatne u statni spravy to mame ukazkove videt - vymeni se certifikat u NIA a nekde se s tim dlouhe hodiny... aneb portal prazana byl celych krasnych 15 hodin out... defacto kvuli jednomu certifikatu :-) To same hrozi i u tech technickych uctu (kdy v danem systemu nemusi byt uplne trivialni zmenu provest) . Muzeme se stokrat bit v prsa, jak je to technicky spravne delat - ale koncovou obeti je zase uzivatel, ktery dojede na to, ze formalne na prvni pohled spravny postup nekde v praxi selze. A cim slozitejsi to bude, tim vetsi pravdepodobnost nejakeho selhani...
Co se certifikatu tyce - ano, zkracuje se platnost nekterych certifikatu, ale rozhodne se treba nezkracuje platnost certifikatu treba u certifikacnich autorit ci treba komercnich kvalifikovanych certifikatu pro el.podpis, rozhodne neni univerzalni pravda, ze by se na hulvata zkracovalo vsecko. U tech koncovych certifikatu typicky pouzivanych pro weby je to primarne proto, ze ve velkem meritku moc nefunguji kontroly revokacnich seznamu. Coz ale neimplikuje, ze to je obecne nefungujici metoda.
A samozrejme, pokud chcete resit treba SMTP/DANE, narazite na jiste "problemy"... a vite jak se to podle nekterych doporuceni v realu resi? ;-)
--reuse-keydo certbotu... takze se toci porad stejny privatni klic a nespadnete do bolehlavu s aktualizaci DNS pokazde (a vyvolanymi moznymy problemy s dorucovanim posty), kdyz vymenite certifikaty. :-) Koza se nazere, koza zustane cela - certifikaty se meni... ale zaklad maji porad stejny. Coz samozrejme muzete genericky delat dle libosti, kdyz si vyrabite CSR. To same mame treba i u DNSSECu... kdypak se naposledy menil KSK u .cz? Kdy naposled rotovali klice na gov.cz? ;-) O NUKIBu nemluve, ten to "alibisticky" radsi hodil na komercniho hostera (co jeden keyset pouziva pro vsechny sve zakazniky). Podivejte se, kdy klic naposledy menilo vnitro. Aneb opet ta teorie versus praxe - a tady fakt muzeme natvrdo rict, ze z uradu kazou vodu a sami pijou vino. Po osmnacti mesicich to fakt nemeni...
