Certifikáty na souborovém systému jen ke čtení

[majvan]

Mám embedded zariadenie, ktoré má read-only root filesystem a ktoré bude nainštalované bez ďalšieho prístupu k nemu niekde v teréne.
Chcem dať naňho aplikačného klienta, ktorý komunikuje s https serverom, ktorý bude mať certifikát podpísaný od Let's Encrypt.

Ako zabezpečiť, aby bolo toto zariadenie stále schopné akceptovať certifikát https servera?
Akú periódu obnovy má Let's Encrypt certifikát? Ako funguje v Linuxe update trusted root certifikátov?

[Reklama]

[alex6bbc]

clientovi (web browser) staci mit certifikat od CA (certifikacni autority), ktery je soucasti instalace a nepotrebuje mit u sebe konkretni certifikat ziskany z letsencrypt. server posle clientovi svoje verejne info k certifikatu a client vyuzije CA k overeni.

[Filip Jirsák]

Trvale to zabezpečit nejde, protože i certifikáty certifikačních autorit se jednou za několik let mění. Už s tím bylo dost problémů, že někdy byly certifikáty CA napevno a CA pak začala používat jiný certifikát.

Let's Encrypt nyní používá kořenový certifikát ISRG Root X1 s platností do roku 2035, ale pravděpodobně přestane být používán mnohem dříve.

V Linuxových distribucích je seznam důvěryhodných certifikátů součástí některého distribučního balíčku, takže se pravidelně aktualizuje tak, jak aktualizujete balíčky. Ovšem pozor na to, že aplikace nemusí používat systémové důvěryhodné certifikáty, může mít vlastní úložiště.