Administrace komentářů

Je to dost trapne, ze kluci ze zdejsiho portalu neumi nahodit cron a renew certu. To je fakt sila. Sorry jako.

Naopak by bylo velmi trapné, kdyby v roce 2021 (!) používali cron. Dnes se tahle věc jmenuje systemd timer.

Jinak bych ještě poznamenal, že správná rotace LetsEncrypt certifikátů je překvapivě netriviální problém. Jsou dvě možnosti:

1. Mít TLSA záznam à la 3 1 2 a … prostě aktualizovat certifikát, jako by se nech(u)melilo.
   • No jo, jenže pak se musí certbot nastavit, aby používal stále stejný veřejný klíč.
   • No jo, ale to pak znamená, že se musí používat pořád stejný soukromý klíč. Což tak z principu není dobře.
2. Mít TLSA záznam typu 3 0 2, jak to má ideálně být (byť to LetsEncrypt (naprosto pomýleně) nedoporučuje, vědoma si nejspíš povážlivé koncentrace idiotů mezi svými „klienty“), jenže pak je potřeba automaticky
   1. obnovit (klíče a) certifikáty v dostatečném předstihu,
   2. zveřejnit ihned nový TLSA záznam, ponechat také starý TLSA záznam a pár dnů ponechat starý certifikát,
   3. přejít na nový certifikát, ale ještě pár dnů nechat oba TLSA záznamy, a konečně
   4. odebrat starý TLSA záznam.
(Pravda, při dnešním způsobu fungování a obvyklém nastavení DNS(SEC) stačí s/dnů/hodin/, pokud správce ví, co dělá.)

Inu tak; skoro nikdy to není jenom nějaký systemd timer a skoro vždy to chce nějakou extra úvahu k tomu.

(Jo a samozřejmě ta rotace musí být implementovaná tak, aby (kvůli nově vydaným certifikátům) dokázala správně fungovat pro každý klíč+certifikát zvlášť. Je dobré mít možnost kdykoliv „bez obav“ přidat další certifikáty…)

Z tohoto hlediska jsou pak všechna ta hujerská tvrzení anonymů, že někdo zapomněl na to či ono, s největší pravděpodobností mimo mísu.

Ať tak nebo tak, je dobré nezapomenout.