Let's Encrypt zmražení vytvářeni certifikátů

[Vietnamka]

Mám -li u stránek Let`s Encrypt certifikát, je možné nějakým způsobem freeznout nebo ochránit před novým vygenerováním certifikátu do té doby, než aktuální nebo poslení expiruje (90 dnů)? Jsou k tomu nutné nějaká kroky nad rámec běžného generování certifikátu přes HTTP challenge? (přidání do DNS), něco  s podepisováním? Případně přidání jiných typů RR do DNS?

[Reklama]

[Filip Jirsák]

Vydávání certifikátů zajišťujete vy, resp. asi nějaký vámi spuštěný proces. Takže je to na vás, co s tím procesem uděláte. Třeba ho můžete vypnout.

[_Jenda]

Asi by šlo přidat CAA záznam a pak ho zase odstranit před tím než budeš chtít vydat další certifikát. Ale většinou se to dělá tak, že jenom koukáš do Certificate Transparency, jestli si někdo jiný certifikát nevydal, a pak až sanuješ následky.

[Filip Jirsák]

Každopádně ta otázka je dost divná a evidentně si ji každý vykládá úplně jinak. Takže by bylo dobré napsat, o co se vlastně snažíte, jaký problém řešíte.

[Marvin]

Nový certifikát standardně generuje certbot 30 dnů před expirací starého (jednou za 2 měsíce).
Když jej nechci aktualizovat automaticky, vypnu certbot timer a spustím certbot ručně až chci.

[Reklama]

[Vietnamka]

Upřesním:aby někdo jiný nemohl generovat certifikát po těch 90 dní. Pokud už bude mít doménu, tak si může s DNS CAA dělat co chce.
Díval jsem se to dokumentace ,  ale  zaujalo mě,, že (nepřekvapivě) je rozdíl mezi renewal a novým generováním  (a možné novým generováním na zelené louce a generováním z počítače, ze kterého už se někdy použil certbot - jsou tam uložené nějaké údaje)

[Tomas-T]

A jak by někdo jiný mohl generovat důvěryhodný certifikát pro danou doménu, když není jejím vlastníkem a nemá přístup k její správě ani ke správě serveru na který aktuálně ukazuje?
Nebo chceš blokovat možnost generování certifikátu na daný čas i pro oprávněné osoby?

[Filip Jirsák]

Certifikáty přes Let's Encrypt může generovat ten, kdo ovládá příslušnou doménu (DNS), případně webový server, na který je doména nasměrovaná. Pokud někdo jiný neovládá vaši doménu (ani web server), nedokáže si pořídit Let's Encrypt certifikát pro danou doménu. Pokud ta doména naopak není vaše, samozřejmě nemůžete vlastníka té domény omezovat v tom, jaký certifikát si nechá vystavit.

Mezi obnovou certifikátu a novým certifikátem u Let's Encrypt žádný rozdíl není.

Pokud nebudeme vědět, jaký problém řešíte, těžko vám někdo bude schopen poradit.

[jjrsk]

Upřesním:aby někdo jiný nemohl generovat ...

Tomu zabranis jedine tak, ze si provozujes vlastni CA s vlastnimi pravidly ktera mas pod kontrolou. Zadny jiny zpusob neexistuje. A samozrejme to plati prave a pouze pro tu konkretni CA. Tzn stale si kdokoli muze vytvorit certifika podepsany jinou CA.

[Vít Šesták (v6ak)]

Nevím, jestli úplně chápu záměr, nicméně pokud předpokládáme, že se někdo zmocní domény (a tedy může mj. upravovat CAA), pak nechápu, k čemu by bylo případné řešení, které by zabránilo jedné CA (konkrétně LE) vydat certifikát, když útočník může využít jinou.

[Marvin]

Jak by takové "zabezpečení" mělo fungovat, aby nenadělalo víc škody než užitku?
Když přijdu o certifikát a nebudu mít zálohu, budu čekat 90 dnů na expiraci starého než mi bude umožněno vygenerovat nový?