Proč by neměla? Let's Encrypt má velkou výhodu v automatizaci svých služeb, takže není potřeba se o obnovení starat. Že to může být problém ukázal nedávný problém ve Spojených státech, kde přestali chodit úředníci na chvíli do práce a některé služby přestaly být dostupné, protože v kanceláři neseděla lidská síla, která je zodpovědná za hlídání platnosti certifkátů a jejich včasné ruční obnovování. Tohle je lepší nechat na stroji.
S tím bych s dovolením nesouhlasil. Na takovýchto serverech je běžná i inspekce provozu ven, takže i vyžvanění ACME protokolu musí projít skrz spoustu mechanismů (firewally, proxy, ...), a bez pochyb to bude vyžadovat práci, bez které by to dřív či později přestalo fungovat. Jaké je v takovém případě riziko, že přestane fungovat obnova jednou za cca dva měsíce vs. ruční obnova jednou za dva roky, bych si nedovolil bez podkladů posuzovat.
Co se týče případu USA, z hlediska bezpečnosti bylo vyústění naprosto v pořádku. Procesy byly nastaveny na to, že vyžadují lidskou kontrolu. Opět nelze bez podkladů (mj. bez bezpečnostního protokolu daného úřadu) od stolu vystřelit, že by bývalo bylo lepší používat LE. Ano, bylo by to lepší pro nepřetržitý běh webu. Ale bylo by to opravdu lepší ve všech ohledech, které administrativa řeší? Není např. proces obnovy certifikátu pevně svázán s nějakými bezpečnostními procedurami? Není např. před výročním datem vyhodnocováno, jaký typ certifikátu a issuer nejlépe odpovídá bezpečnostním ohledům úřadu? Zkuste si např. představit, že se přijde na nějakou bezpečnostní chybu v LE. Bude úřad schopný reagovat tak rychle, jak je požadováno? Nebo je vhodnější podepsat velkou smlouvu s externím partnerem, který ručí za hlídání některých oblastí bezpečnosti, mj. za reissue, pokud by to bylo potřeba? Nemají přístup k LE mechanismům i osoby, které jsou potenciálně nebezpečné pro USA? Pokud ano, bylo by nutné zvážit HPKP - v případě ohrožení USA potřebujete mít kontrolu jak i lidi od informací odříznout, tak i jak jim zaručené informace předat. Pokud se použije HPKP, jak často se bude měnit klíč? Pokud se bude měnit klíč, jak moc to bude (opět) závislé na zaměstnancích? (a jsme na začátku...?)
Nemám opravdu rád, když se bez bližších znalostí vypalují soudy typu: "vidíš, s LE by se to nestalo". To si možná může dovolit laik v diskusi, ale profesionál by měl vědět, že je potřeba aspoň nakouknout i za roh. Bezpečnost není téma jen o černém zámečku v prohlížeči.
V Seznamu očividně vyhodnotili, že pro jejich potřeby stačí LE, že nevyžadují ani OV, ani EV certifikát. To není jen politické rozhodnutí, ale i bezpečnostní. Pokud přejdete na LE, dáváte reissue mechanismus do ruky každému adminovi, který má přístup k toku http požadavku na dané doméně. To musíte pečlivě zvážit, jestli je dobrý nápad. Nebo, pokud chcete issue omezit, pak ACME zatrhnete na vstupní proxy a dál si musíte být jist, že se požadavek nepředá (co když tento filtr selže?). V případě tradičního certifkátu (kupovaného na delší období) omezíte issue pomocí CAA záznamu a interním mechanismem ověření vůči vybrané CA. Oba mechanismy mají administrativně svá pro i proti, oba mechanismy mohou být zneužity jinak a oba mají jiné silné stránky.
Technický ohled je až to poslední, co se v těchto případech zvažuje. Technicky je totiž (pokud vláda USA neví něco víc
šum a fuk, jestli je certifikát vystaven od LE, nebo od někoho jiného. LE už dávno nemá nálepku low cost řešení.
Zobrazit příspěvky
.