Vlákno názorů k článku
Let's Encrypt začal používat nový mezilehlý certifikát R3 od BobTheBuilder - Ten závěr je trochu zavádějící, ne? TLSA musím změnit...

  • Článek je starý, nové názory již nelze přidávat.
  • 3. 12. 2020 13:31

    BobTheBuilder
    Stříbrný podporovatel

    Ten závěr je trochu zavádějící, ne?
    TLSA musím změnit při změně certifikátu, ale autorita s tím nemá nic společného. V TLSA záznamu mám hash buď veřejného klíče nebo celého certifikátu a to si protistrana ověřuje.
    Na to měna mezilehlé autority nic nemění.

  • 3. 12. 2020 14:08

    Petr Krčmář

    Záleží právě na tom, jaký certifikát je tam zapinován. Může tam být i mezilehlý certifikát autority, kterou používám. V takovém případě současná změna vyžaduje zásah. Dávat tam koncový certifikát je nepraktické, protože ten se mění každé dva až tři měsíce. Nejjednodušší je dát tam otisk veřejného klíče, ten se v čase obvykle nemění.

  • 4. 12. 2020 10:24

    BobTheBuilder
    Stříbrný podporovatel

    Nejsme ve sporu - otisk certifikátu je v TLSA výslovně nedoporučován (TLSA 3 0 1). Drobná potíž je, že acme standardně pokaždé generuje nový privátní klíč i CSR, musí se mu říct, aby to nedělal (pro acme.sh option --csr) a pak použí TSLA 3 1 1 (otisk veřejného klíče).
    I tak by to ale měl renew hook kontrolovat a při změně TLSA neinstalovat nový certifikát a upozornit admina.
    Když tohle člověk vidí, napadne ho, jestli by nebylo lepší do TLSA dát self-signed certifikát, nebo mít vlastní CA.
    No, nebylo: minimálně vám pak nebude fungovat propojení gmailu s vaším serverem. Tam se TLSA nebere v potaz, od loňského podzimu se vyžaduje certifikát od důvěryhodné CA.