Názor ke zprávičce Apple podal návrh na postupné zkracování platnosti certifikátů pro HTTPS od Filip Jirsák - Ne, zkracováním nevzniká single point of failure, protože...

  • 16. 10. 2024 8:27

    Filip Jirsák
    Stříbrný podporovatel

    Ne, zkracováním nevzniká single point of failure, protože i v té nejkratší variantě bude platnost certifikátu 45 dní, můžete ho měnit třeba po 30 dnech, takže budete mít pořád 15 dní na řešení případných problémů. Navíc máme ACME, takže přejít na jinou autoritu nebude problém – naopak to bude daleko snazší, než dnes (protože to budou muset implementovat všechny autority).

    Google žádná pravidla nemění, navíc nemá žádnou certifikační autoritu.

    V okamžiku navazování spojení nejde udělat fallback na CRL – to byste musel mít CRL už stažené.

    O OCSP se nestará server, dělá to klient. Server se případně stará o OCSP Stapling, který je ovšem závislý na OCSP.

    Myslel jsem si, že při OCSP Stapling je validita odpovědi v řádu minut. Teď jsem si to dohledal, že se běžně používá potvrzení s platností 7 dnů – tím pádem je to pro rychlé odvolání certifikátu stejně nepoužitelné.

    Zavádět v prohlížečích novou závislost na ověřování platnosti certifikátu nedává smysl, když to nyní nefunguje a prohlížeče to používají buď volitelně nebo vůbec. Revokace certifikátů ze strany CA je zkrátka v online komunikaci nevyřešený problém a zkracování platnosti certifikátů je zatím jediné reálné řešení.