Názor ke zprávičce Apple podal návrh na postupné zkracování platnosti certifikátů pro HTTPS od Danny - Pokud mate u TLSA zaznamu nastavene TTL na...

Pokud mate u TLSA zaznamu nastavene TTL na 48 hodin, tak to proste delate blbe. TTL muzete mit pro kazdy zaznam v DNS jiny a samozrejme, nekde dava mit smysl TTL vetsi a jinde to je naopak nesmysl. Ono to nechce byt otrok minulosti a nesnazit se porad veci delat stejne jak pred dvaceti lety a pak nadavat, ze nove postupy a reseni maji "problem".

TLSA zaznamu muzete mit i nekolik, tedy samozrejme neni problem ani postupna rotace certifikatu zrovnatak neni vubec zadny problem. Mate to dokonce explicitne zminene v RFC 6698 v priloze A4 v prikladech... aneb vase argumenty jsou z kategorie "ajtaka", co ani necte dokumentaci, ale pritom ma "jasno".