Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Michal Špaček informuje v článku Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok na svých stránkách: "Apple tento týden na setkání certifikačních autorit a prohlížečů oznámil, že od 1. září tohoto roku bude maximální platnost TLS certifikátů v Safari (a možná i v celém macOS a iOS) zkrácena na 1 rok, čímž v podstatě zabil certifikáty s delší platností".

Komentáře

Zaujímal by ma názor ľudí, čo spravujú kadejaké postaršie blackboxy cez https.

23.2.2020 21:04 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

No je to uplne na <|>.

23.2.2020 21:06 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Na druhou stranu treba APC 7922 - na webu "no cipher overlap" a na ssh se uz z Busteru taky nepripojis.

23.2.2020 22:51 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Proč by jsi se nepřipojil? Nefunguje ti něco jako:

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -c 3des-cbc

Zdar Max

Měl jsem sen ... :(

24.2.2020 11:13 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Moc jsem to nezkoumal: ssh_dispatch_run_fatal: ... Invalid key length

Takže když si nyní koupím HTTPS certifikát na 2 roky, tak úderem září mi Apple začně počítat jen jeden rok platnosti a pak smůla? Jakože v jiných prohlížečích to bude stále OK, ale v Apple zařízeních (Safari) už ne? Chápu to dobře? ;)

Linux Dokumentační Projekt - PDF ke stažení

23.2.2020 22:53 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Možná ti certifikační autorita zdarma vystaví nový jen s roční platností a ten původní ti zneplatní.
Nevím, já i placené certifikáty, i na firemní služby i jiné věci nechal doplynout a všude přešel na letsencrypt.
Zdar Max

Měl jsem sen ... :(

24.2.2020 09:49 MP
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Zkousel jsem prejit na LE. Neni to takova sranda, pokud se pouziva konfiguracni management na servery, ktere nejsou pristupne z netu - aneb, implementace se nepodarila. Musel jsem zustat u komercnich. Nemluve o tom, ze ze zpravicky neni znamo, zda by se to tykalo i internich CA.

24.2.2020 11:16 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Že servery nejsou přístupné zvenčí ničemu nevadí. Přístupný musí být ten server, který žádá o certifikát, aby Let's Encrypt mohlo ověřit, že to je ten, kdo žádá. DNS validace by měla situaci ještě zjednodušit, neboť stačí vystavit ven name server a nacpat CNAME záznamy na ta správná místa, aby LE použilo ten vystavený name server.

Já dostal LE certifikát i s automatickou obnovou na tiskárnu schovanou v místní síti a bez podpory LE. Stačí, aby ten certifikát získal nějaký důvěryhodný server, který to zvládne a má možnosti, a pak se certifikát bezpečně nahrál, kam je potřeba.

Hello world ! Segmentation fault (core dumped)

25.2.2020 14:19 j
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Uvnitr firem ze typicky nepouziva verejny dns, takze to vadi a neni to resitelny. Nebo jak chces vyrobit le cert na rekneme server.podstromem ?

Sekundarne je ti uplne knicemu i ten server, protoze i kdybys uvnitr pouzival verejny dns, tak se z toho zblaznis uz pri desitkach stroju, natoz pri stovkach nebo tisicich. Protoze cert nakam nejak nahrat = na kazdym jednom stroji nejak jinak jinym postupem nekam jinam. A na 50% z nich to nepujde ani nijak automatizovat, takze bys to musel delat vsechno rucne.

A vysledek? Jedinej vysledek toho vseho bude, ze tvuj browser nebude pindat nesmyslny hlasky. Bezpecnost se tim nezlepsi ani o jedinou pid, naopak, proti vlastni CA se vyrazne zhorsi.

Co je zle na 2-rocnych SSL certifikatoch? Vidim to tak ze ludia prestanu pouzivat Safari a prejdu na normalny browser.

Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven

24.2.2020 03:41 Gulo
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Jenze to neni jen o uzivatelich, kreativci jedou na macich, je pro ne dulezita kvuli americke audiency.

24.2.2020 09:19 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

A týká se to jen prohlížeče Safari nebo i dalších aplikací na iOS a macOS? Já bych to asi neriskoval.

Linux Dokumentační Projekt - PDF ke stažení

25.2.2020 14:20 j
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

To by lidi museli prestat pouzivat apple, protoze to se bude tykat vseho od nich, a nejspis je ostatni rychle dozenou a predezenou ...

Ty prohlížeče mě už začínají pěkně sejřit. Ať už konečně implementují v plném rozsahu DANE a na certifikační autority se můžeme vykašlat.

25.2.2020 08:38 j
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

To neudelaj nikdy, se rozhlidni, vidis jakej pekne dzob si guugl udelal z toho, ze by se tvuj browser mel idealne pri kazdym kliknuti zeptat prave jejich serveru, estli ten cert toho webu na kterej lezes je ten spravnej? A tudiz o kazdym jenom klinuti vedej?

Sekundarne by to vadilo samo i sposte dalsich smiraku, protoze zatimco ti libovolna CA vyda cert na libovolnou domenu lusknutim prstu, s dane by to neslo.

Do tretice, soudruzi z chrozilly pak nebyli schopni pro tu spoustu prace s neustalym premalovavanim loga vyresit bug, kterej je predpokladem implementace, uz nejakych 22 let.

25.2.2020 12:58 Jacob
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

Spiknutí! Ale fakt že asi i jo...

Ja bych to zkratil tak na den ... nebo na minutu, nebo vubec nejlip, generoval bych cert pro kazdou session extra ...

BTW: Jak je to dlouho co se tu do me mistni yteligent navazel, ze u jabka staci nastavit cert jako duveryhodny rucne? Tejden?

Proste (nejen)browser ma otevrit by default bez kecu libovolny spojeni s libovolnym certifikatem, protoze cert je jen a pouze hausnumero umoznujici sifrovat. A to je taky presne vse, co vyjadruje.

Existuje sice dane, ktery umi rict ze cert je spatny, ale to se rozhodli soudruzi od guugla (chrozilla included) neimplementovat, protoze by jim znemoznilo smirovat cely internet.

Ani trochu se pak nebudu divit, az zacne byt ke vsemoznym soho krabkam dodavanej extra(neaktualizovatelnej a windows only) browser na jejich konfiguraci, protoze vyrobce a prodejce prestane bavit, ze jim useri nadavaj, ze se na to uz zas, po 1/4 roce, neda pripojit.

25.2.2020 09:05 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

On už někdo v SOHO krabkách řeší https? Snad vždy, když jsem měl něco v ruce, tak to by default jelo jen přes http, právě aby to uživatele asi nemátlo a neplašili.
Zdar Max

Měl jsem sen ... :(

25.2.2020 11:23 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Maximální délka platnosti HTTPS certifikátů bude zkrácena na 1 rok

To v budoucnu nebude tak uplne pravda, nebot je tu narizeni EU, ktere spicifikuje pravidla pro takova zarizeni. Krome per-device default password je tam nejspis i https. Totez plati i pro IoT hracky.

Please rise for the Futurama theme song.