Názory k článku
Let's Encrypt vysvětluje 90denní platnost certifikátů

Technické důvody chápu, ale přijde mi, že to akorát demostruje, že se kryptografie moc nesetkává s lidskými potřebami.

Prostý člověk očekává, že certifikát bude mít trvalou hodnotu, jenže v reálu se dozvídá, že musí certifikáty přegenerovávat, smlouvy v datové schránce přerazítkovávat atd. Proti své vůli se dostane do neustálého závodu s časem.

S lidskými potřebami to nemá nic společného. Pokud člověk očekává, že certifikát bude mít trvalou hodnotu, je chyba v tom očekávání. Navíc nechápu, k čemu je takové očekávání dobré. Systém důvěryhodných certifikačních autorit je založený na tom, že důvěřujete tomu, co nějaká certifikační autorita podepsala. Takže i kdyby se ten certifikát měnil každý den, prostému člověku to bude jedno, protože pořád ověřuje jenom to, zda certifikát podepsala důvěryhodná CA. Něco jiného je to u certifikátů samotné CA, protože ten certifikát reprezentuj danou CA a když skončí jeho platnost, musí se tím člověk zabývat (obstarat si nový certifikát té CA).

Tak treba u zmineneho Google pri stahovani mailu byste take nedelal nic jineho, nez overoval certifikaty. Skoro pokazde, kdyz stahuji mail, je mi receno, ze se zmenil certifikat. Tak nevim, jestli je meni kazdych 5 minut, aby meli stale cerstve certifikaty, ale spis jsou to chlivaci a nejsou schopni udrzet konzistetni certifikaty na ruznych serverech a ja dostanu certifikat podle toho, kam me zrovna hodi nejaky ten roundrobin nebo co. Za techto okolnosti je kryptografie skoro na hovno.

V systému postaveném na certifikačních autoritách důvěřujete podpisu certifikační autority, konkrétní certifikát vás nezajímá. Ale to už jsem psal, že. To, že vy to špatně používáte, není problém kryptografie.

Ano, to je krasne. Ale napsiklad mailer zretlene nema seznam duveryhodnych certifikacnich autorit, tak porad otravuje s popupy, az je clovek prestane cist.

Tak Claws Mail leda tak, aby zral cerifikaty bez ptani. Holt vyvojari nepocitali s tim, ze tak velka firma, jako Google, ma v certifikatech totalni chliv.

DANE nemá s důvěrou nebo nedůvěrou certifikačním autoritám nic společného. Certificate Transparency je obyčejný způsob kontroly certifikačních autorit, přičemž na tom, že je možné práci certifikačních autorit kontrolovat, je celý systém CA založen. HTTP Public Key Pinning má v názvu „Public Key“, nevidím tam „Certificate“.

Já neříkám, jaký je důvod pro krátké certifikáty. Jenom vysvětluju, že spoléhat se na neměnnost certifikátu je nesmysl, protože když si ověříte veřejný klíč a někam si ho připíchnete, tak už nemá smysl řešit ten certifikát vystavený k tomu veřejnému klíči. Dává to asi tak stejný smysl, jako kdybyste po někom chtěl, aby vám přinesl ukázat vysvědčení a zároveň s ním ukázat i ověřenou kopii toho vysvědčení.

pokud ztratim klice a nebo penezenku, tak si taky vymeni zamek a zabloukuju platebni karty.

Nikdo vás k ničemu nenutí.

Nikdo tě do ničeho nenutí. Založ si vlatní CA a vydávej si certifikáty třeba na 100 let.

Úplně Vás vidím, jak pod cedulí "Jízdy na koni zdarma" nadáváte provozovateli, že Vy jste chtěl jezdit na duhovém poníkovi, a jaký je to hajzl, že Vás nutí jezdit na koni...