Vlákno názorů k článku
Apple podal návrh na postupné zkracování platnosti certifikátů pro HTTPS
od MichaelsCZ - To jako budu měnit hvězdičkové certifikáty u zákazníků...
-
tak u Fortigate už cert měníme přes api, co je s tím za problém? Sophos to bude mít nejspíš podobně.
Díky automatizaci certifikátů se u klientů prakticky přestali povalovat certifikáty v chatech, emailech, na discích a všichni ví, kde přesně jsou. Zároveň se tahle část začala také automatizovat a testovat, tj. dnes už víme jaké správné nastavení je pro FW a ne, že k tomu nemá nikdo ani čárku a prostě to je nějak 5 let nastavené a nešahá se do toho.
Myslím, že ta kultura se výrazně zlepšila, jako vedlejší efekt krátkých certifikátů je to super.
Každopádně tohle zkracování přidělává neřešitelné problémy pro různé krabičky, které nejsou v servovně ale u zákazníků, u nich žádné dobré řešení není a vše se musí připojovat na internet a dělá proxy přes vlastní servery, což zrovna není dobré.
No, nebo se vykašlat na REST/web a prostě použít šifrovaný binární protokol.
-
provozovat systém a napsat k tomu "nemám důvěru, jestli se něco jiného nerozbije" vypadá na velký problém a nejde už vůbec o samotné certifikáty.
Co, co provozuješ (nebo spravuješ), bys prostě měl znát, mít možnost někde otestovat změny nastavení a být schopný vědět, co se změnou stane a stejně tak monitorovat produkci, že se chová správně.
Ono to nějak funguje a raději na to nešahám znám, ale dnes to jsou doslova otevřené dveře pro útočníky.
Právě tyhle krátké certifikáty hodně mých klientů donutili začít věnovat pozornost něčemu, na co roky sedal prach, zřídit testovací prostředí a narovnat vůbec tenhle proces.
-
"a napsat k tomu "nemám důvěru, jestli se něco jiného nerozbije""
Vis v cem je problem? Ze ja, a semnou kazdej kdo kdy v IT neco realne delal vi, ze se to rozbije zcela 100%. Specielne vsemozna API. Napises si na to nejakej script kterym budes neco nekde. Ono to bude fungovat, rok, dva, deset, a pak prijde nejakej frikulin, kterej rekne ze takhle to neni dost khull ... a proste ti to ze dne na den fungovat prestane.
A to nemusi byt jen o tom api samotnym, protoze ty pouzijes treba nejakou knihovnu ...
Cim vic takovyh volovin pak v infrastrukture mas, tim castes musis resit, ze se uz zase neco podelalo a zase neco nekde prestalo fungovat.
Donedavna kdyz sem nekde potreboval cert, dal sem mu platnost 100let, a vedel, ze tou dobou to ja uz rozhodne resit nebudu.
-
Nelze znat system ktery je blackbox. Znat znamena vedet o internals, o tom co presne kazda funkce dela, jak ovlivnuje vykon a stabilitu. Co presne se zmenilo po updatu sw atd.
Ja to u vetsiny provozovaneho HW neznam. Tim spis pokud dojde k major update a člověk je zas na zacatku.
A vlastne ani ne u vyvijeneho hw ktery ma v sobe binarni bloby.Umět nakonfigurovat u mne neznamená "znam". Pro to abych mohl rici "neco znam" musim se alespon na par mesicu zavrit s tou krabici do labu a otestovat funkcionalitu s nejakou specifickou verzi sw.
Abych mohl rici "znam" tak musim byt na urovni vyrobce. -
Filip JirsákStříbrný podporovatelPro deep inspekci ale máte certifikát interní certifikační autority, takže ten může platit libovolně dlouho (nebo jestli je tam nějaký limit patnáct nebo dvacet let, je to jedno).
-
Šílenej ajťákStříbrný podporovatelNo pokud do toho takhle šlápnou velcí hráči typu google a Džabko, tak lze od renomovaných dodavatelů ocekavat nové FW s podporou ACME...
Např. FORTIGATE umí acme od verze 7.0 -
Ne vzdy je to jednoduse mozne. Tim spis pokud mate jako korporat mate deal s CA a je hodne tezke z toho vycouvat. Hezky si vas omotaji kolem prstu privatnim api na vydavani certifikatu. A k tomu parta opicaku ktera se za to plati.
Nedokazu si predstavit kolik malych appek to bude muset resit.
Je sice mozne ze timto rozhodnutim se vytvori tlak na vydavatele certifikatu aby zavedli univerzalni mechanismy, nicmene to nejakou dobu trva. -
Jenze vydavatele certifikatu jsou ve skutecnosti to nejmensi. Tech tzv "duveryhodnych" je par. Problem je, jak budes ty certifikaty dostavat tam, kam je dostat potrebujes. Uz to, ze si ten cert vygenerujes jinde je vlastne fail. A do naprosto drtivy vetsiny veci ho proste nedostanes jinak, nez rucne.
A i kdyz nacpes, je s tim dalsi krasna vec ... ve vetsine pripadu pak musis tu vec celou restartovat. Kdyz to je 1x rocne, da se to zkousnout, 4x rocne uz je na hrane, ale castejs ...
-
Tyto mechanismy mame vicemene zmaknute. Vicemene protoze vzdy prijde nejaky hloupy startup kde cekam nejakou nestandartni "inovativni" zradu. Pro nas nejvetsi koule na noze jsou ty CA. Uz tu nekdo popisoval korporatni kolecko trvajici mesic. U externich sajt je toto take nas pripad. Uplne stejne blby proces.
Balancery, firewally obvykle problem nejsou pokud vendorovi nerupne v kouli - mluvim o tobe Palo Alto a tvych QA.
Pritom interni systemy maji proces automatizovany nebo alespon poloautomatizovany.16. 10. 2024, 07:10 editováno autorem komentáře
-
No... U nás platí pravidlo, že tyhle placené certifikáty prostě nesmí obnovovat automat, dokonce ani řadový pracovník. Je potřeba nejprve projít kolečkem v interním systému, kde odpovědná pověřená osoba popíše, na co a proč potřebuje utratit těch pár dolarů za certifikát, pak to musí schválit manager, potom teprve lze podat žádost. Vygenerovaný certifikát je pak předán na systém (často u dodavatele) k nasazení, které se děje výhradně ve stanovených termínech (1× týdně). Certifikát musí být obnovený nejméně 10 dní před vypršením platnosti, a to nejprve v testovacím prostředí a nejméně za týden ve dvou vlnách v produkčním prostředí.
Celkem tedy cca tři týdny pilné práce, kterou musíte ukončit 10 dní před koncem platnosti - to znamená, že při platnosti 45 dní máte poté 24 dní pauzu, než s tím začnete znova.
Nevím, zda bude rychlejší změna délky platnosti, nebo změna interních korporátních předpisů... ;oD -
DannyStříbrný podporovatelChybne nastaveny korporatni proces neni problem technologie :-) A ono tvrdy naraz do zdi donuti i korporat ty veci vyresit pricetneji.
-
To, že zadřete pár ajťáků neustálým obnovováním certifikátu rozhodně není
tvrdý náraz do zdi
!
Prostě se řekne, že je to jejich povinnost, a když to zvládali dosud, budou to zvládat i nadále - a ne-li, pocítí to na finančním ohodnocení. Rozhodně nepředpokládám, že kdokoliv svolí s automatem, generujícím opakovaně nové a nové platby - jak jde o peníze, jsou managoři zcela nesmlouvaní! -
Ako dlho si myslis ze ten ajtak bude plytvat svojim casom v takej robote? Ti ludia sa tam budu tocit este v skusobke.
Bud sa to bude dat plne zautomatizovat, kor vo vacsich firmach kde to bude treba robit dookola ako u *ebnutych na povale na desiatkach az stovkach serverov (mam na mysli take ktore ma v sprave jeden clovek, su pravdaze firmy ktore maju zopar desiatok tisic serverov ala google, MS, amazon, ... ale tie nespravuje jeden clovek) a ako zvycajne manazment to prideli za ulohu tomu spravcovi alebo devopsakovy. -
TL je od té úrovně managementu, která takové věci řeší, ještě hodně daleko.
Ve velké firmě (navíc mimo IT obor) je nebohý ajťák jen trpěnou nutností, kterou určitě dřív nebo později nahradí AI. (Zrovna minulý týden šla kolem nějaká manažroutská delegace, a když jim vysvětlili, že jsme IT pracovníci, tak si neodplivli jen proto, že jsou slušně vychovaní, a taky že ten koberec má větší hodnotu, než my.) -
Kolik z těchto velkých korporátů si myslíš, že to má procesně dobře vyřešené?
https://cs.wikipedia.org/wiki/Seznam_největších_zaměstnavatelů_v_Česku
-
Bral jsem, že toto vlákno je o efektivnosti korporátních předpisů, a s tím počet zaměstnanců velice hezky koreluje.
Naše firma je v první desítce a nemá ani předpis jak postupovat ani tu automatizaci... Takže předpokládáš špatně, firmy toto vyřešené obecně nemají, a když už, tak zhruba tak, jak psal RRŠ.
-
"No banky vsechny"
Lol ... tak proto sem volal do KB s tim, ze maji expirovany certifikat, nacez si me tam predavali jak horky brambor, snazili se zeme delat d.bila ... az me konecne prepojili na nejakyho ITka (presne mam pred ocima ITcrowd) a ten po pokusu ne poslat kamsi ... znicehoz rek ..."zkuste to za 15 minut". A sel ten cert vymenit.
Takze mi vykladej, jak maji neco procesne zvladnuty.
-
Filip JirsákStříbrný podporovatel
Někdo chce mít hodně aktuální seznam živých webů.
Přemýšlel jste nejdřív, než jste tohle napsal? Kdo je podle vás ten „někdo“? K čemu by mu ten seznam byl? Nemá náhodou daleko lepší prostředky, jak by takový seznam získal? Takové, které neselžou ani u hvězdičkových certifikátů? A opravdu má ten někdo takovou moc, aby zmanipuloval celé CA/B fórum? -
Filip JirsákStříbrný podporovatel
Škoda, že já jsem nepsal nic o veřejných webech. Každopádně kdyby chtěl Apple vytvářet seznam živých webů, má k tomu jako autor několika operačních systémů a prohlížeče mnohem lepší možnosti, než CT – který je navíc veřejný, takže ten seznam může využít a prodat úplně kdokoli. Takže z té vaší konspirace proti Applu (nebo možná proti Googlu, v diskusi se ukázalo, že konspirátoři mají problém přečíst si aspoň nadpis zprávičky) vyplývá, že by se Apple (nebo Google) vlastně zbavovaly své konkurenční výhody.
Mimochodem seznam webů, které nejsou veřejně dostupné, musí být opravdové terno – nevíte čí ten web je, co na něm je, jenom víte, že někde v internetu to doménové jméno někdo používá. Když budete mít štěstí, podaří se vám ho přeložit. Po takovém seznamu fakt všichni touží, a nejvíc touží po tom, někomu za něj zaplatit, i když si ho mohou stáhnout zadarmo.
ČLÁNKY DO MAILU