https://partner.root.cz

Re:https://partner.root.cz
« Odpověď #15 kdy: 18. 02. 2016, 09:36:13 »
Přesně tak, s HSTS není nejmenší problém, stejně jako s TLSA nebo revokací. O Let's Encrypt mám přednášku za čtrnáct dní na InstallFestu a ještě přemýšlím, co všechno tam budu říkat. Ale tohle vlákno mi dost pomohlo nasměrovat myšlení na to, co je potřeba o LE ještě říct (kromě principu a klasických výhod/nevýhod).


Ondrej

Re:https://partner.root.cz
« Odpověď #16 kdy: 19. 02. 2016, 08:53:19 »
BTW kdyby to někoho zajímalo:
Nasazovali jsem teď LE a pár lidí nám psalo že se jim stránky nezobrazují ve WinXP IE, Chrome a Opera. I tady je řešení: Ve Firefoxu LE na XP funguje!

i-PRESS

  • ***
  • 100
  • NodeJS, Python, Perl, Lua, PHP
    • Zobrazit profil
Re:https://partner.root.cz
« Odpověď #17 kdy: 19. 02. 2016, 15:59:41 »

Ale tohle vlákno mi dost pomohlo nasměrovat myšlení na to, co je potřeba o LE ještě říct (kromě principu a klasických výhod/nevýhod).


Super, tak toho využiji a poprosil bych primárně zmínit 1 výhodou oproti "standardním CA". Je fajn, že již není kontrolována platnost samotného certifikátu u žádosti o zařazení na preload list, když jsem to před více než půl rokem zkoušel, ještě to tak bylo, tím tedy jedna velká nevýhoda padá. Celý princip CA je ale založen na důvěře a tu já k EV nemám, což je ale můj subjektivní názor.


Stále za mne platí "problém" s krátkou platností. Vím že to pro spoustu webů nemusí být kritické, ale když mám na VPS 6-8 mikroslužeb, každá na vlastní doméně/subdoméně a každou bych vyřešil pomocí LE, budu muset každé 2 týdny restartovat třeba webserver? A když takové servery mám 4? Nechat restart na aplikaci je nesmysl, to mi taky může reloadnout NGINX ve špičce a přijdu o stovky requestů, nemluvě o rozpadnutí WebSocket/MQTT spojení.


Já nechci LE hanit, mě nijak nevadí, mám sice partnerský účet u SSLS, ale certifikáty neprodávám, mám ho jen kvůli tomu že jich mám hodně a vyplatilo se mi si obnovování automatizovat pomocí API. Platnost komerčních certifikátů je ale až 3 roky, což mi usnadňuje i s tím spojený restart webserveru, který ani v tomto případě nenechávám dělat mojí aplikaci a pouze mi uloží do stacku požadavek na restart jakmile je cert připraven.


Netvrdím ale, že výhodu LE žádnou nemá, pouze že jsem na žádnou nenarazil. Pokud existuje něco co mne nenapadlo, rád změním názor. Zatím si stojím za tím, že na komerční služby určen není. Je tu ještě otázka nějaké garance. Standardní DV mi "ručí" do 5-10k USD, OV + EV až do cca 1.75M USD/transakci. U LE je to jak? Nikde jsem toto info nenašel..


Pokud jde o snadnou implementaci běžnými uživateli (což je dle mne také spíše na škodu), pak se jako přínos uvádí jejich aplikace. Ale to tu pro ty, kteří si těch pár řádků na API napsat nedokáží také existuje třeba v podobě https://encrypt.cz/ s ověřením emailem od SSLS.


Takže ať se na to koukám jak chci, stále nevidím žádné pozitivum (tím netvrdím že zde není), ale pouze negativa. Teď jde o to, zda by měl mít pro komerční produkt (bavím se třeba o eshopu, nikoliv službě pro vlastní potřeby) certifikát, který nic kromě úspory 90,- Kč (nejlevnější cert od SSLS) na rok nepřináší za cenu častějšího odpojování třeba mobilních apps při restartu, nemožností WildCard, atd...


Btw, když už o tom budete povídat, zajímalo by mě, jak je řešeno ad-hoc přidávání certifikátu v rámci SAN. Tedy use-case je takový, že mám sadu souvisejících služeb na různých doménách a aplikacích, před nimi stojí jako proxy nginx a chci tedy obhospadařovat tuto skupinu jedním certifikátem. Lze to nějak u LE jednoduše řešit?


Budu rád pokud na IF odpovědi padnou ;)