Názory k článku
Vláda přesunula weby pod doménu gov.cz, jeden hlásí problém s certifikáty
-
ten certifikát, ale byl platný … je tady uveřejnili web na nové doméně a nebylo to správně nakonfigurované, stane se.
"Platný" certifikát pro jiné doménové jméno musí být považován za neplatný. Kdyby si stačilo nechat vydat platný certifikát pro nějaké doménové jméno a měl by být automaticky považovaný za platný i pro jakékoli jiné, tak celý ten systém ztratí jakýkoli smysl.
-
ACME. To že to někdo nepodporuje je jeho blbost a blbost jeho uživatelů. Vždy jde udělat nějaký cron job, který ten certifikát nahradí. Stejně s tím, jak se životnost certifikátů stále zkracuje, tak dělat tohle manuálně, každý 3 (10) měsíce a nemít to zautomatizované, je to spíš totální bláznovství.
-
Bohuzel casto to neni mozne jen tak zvolit. Korporat ma smlouvu treba na 10 let s nejakou CA ktera samozrejme ACME neumi a je problem vypovedet. Problem neni zmenit certifikat. Problem je vypoved te smlouvy. Na te CA sedi nejaky deda ktery vam rucne vydava certifikaty pres nejake klikaci rozhrani. Takze minimalne 2 mesice pred tim nez vam vyprsi si nastavite v monitoringu at vas to otravuje protoze deda(interni zamestnanec) na to ma 1 mesic.
Teoreticky by slo mit interni CA alespon na interni systemy, jenomze takovy projekt to je minimalne na 2 roky analyza co vsechno ve firme je a 5 let implementace. Pokud to ma jit od sitovych prvku, VPN koncentratoru, middlevary,podpurne aplikace a ruzne gateway pro systemy ktere to neumeji atd.
A kolik tech veci umi ACME? A kdyz umi kolik zabere testovani a integrace? To neni o pidifirme o 10ti zamestnancich kde to mate za tyden (kdyz nemate jinou praci) hotovo.
10. 12. 2023, 18:06 editováno autorem komentáře
-
No zrovna pri cene certifikatu... nejhorsi co se vam muze stat, ze zaplatite par tisicovek navic. Naklady s rucnim reseni problemu na strane "korporatu" budou vyssi. Pripadne nechate takovou smlouvu dozit nekde v LABu... :-)
Corporate life zname, to se fnuka jak na nic neni cas, ale pak je to sama cigaretka, kaficko... :D
-
Tohle jsou jenom výmluvy. Veřejný certifikát je v dnešní době součástí kritické infrastruktury, jeho vypršení může napáchat obrovské škody. Jestli nějaký korporát řeší, geo replikace atp. a pak má nějakého Jouzu co každých x měsíců manuálně nahrazuje certifikáty, tak je buď někdo kdo o tomhle rozhoduje naprosto nekompetentní a nebo o tom vůbec neví (ani jedno není dobře).
Mě by teda zajímalo, jaká CA to dělá takhle manuálně? Navíc to stejně budou muset řešit s tím jak se ta maximální životnost certifikátu zkracuje. Manuálně to šlo dělat když to bylo 2 roky, při roce už je to nedává smysl a při 100 dnech to může manuálně dělat jenom blázen.
Vůbec tím nemířím na problém co je napsaný ve zprávičce, tj. certifikát bez domény, na které to běží. Stále se bavíme pouze o tom, že v dnešní době neexistuje omluva pro expirovaný certifikát.
-
Bezva ,,, takze nic. 90% krabic nic takoveho neumi a nikdy umet nebude.
Pak to dopadne presne tak, jak se pise tady, protoze kdyz nekdo za par mesicu/let zmeni nekde domenu, tak si uz davno nikdo nebude pamatovat, kde je jaky administratorem vytvoreny script na obnovovani certifikatu. A zaroven to budou stovky variant na tema ten umi to a ten zas ono a vsichni dohromady neumime nic.
-
Jako sorry ale 99% těch krabic má nějaké API. Jako jestli má firma bordel a dělají nějaký skripty, který běží bůh ví kde a nemají tohle dokumentované, tak má obrovský problém.
Je třeba si uvědomit, že veřejný certifikát je kritická součást jejich řešení. Pokud certifikát je neplatný, tak je to co je za ním prostě nepřístupné (pro normální uživatele). Pokud není firma/korporát/stát schopný s tímhle rizikem pracovat, tak má obrovský problém. To, že to někde nechávají dělat lidi manuálně je ještě větší průser, než kdyby týden hledali kde ten pochybný script na aktualizaci běží. Protože co když bude mít Franta, co to každý 3 měsíce dělá, zrovna chřipku nebo dá/dostane výpověď. -
Puvodni
vlada.czma dokonce jeste EV, ale navlada.gov.czje uz certifikat od LE. V obecne rovine automatizace zas takova cerna magie neni, ACME protokol podporuje Digicert pouzivany uradem i pro ty EV certifikaty.... neni pravda, ze by to neslo :-) A platba neni problem - proste si jen dopredu nabijete kredit... -
Se stane... ze vam nemuze muzik prevydat certifikat protoze na vpn koncentratorech vyprsel. V ramci "zabezpeceni" byla zrusena separatni vpn na prusery a pul dne velka cast firmy stoji nez chlapik dorazi do DC. Mezitim muzik s certifikaty uz ma padla a nahrada ma dovolenou. Zastupitelnost je obecny nesvar jiste firmy :-)
Teoreticky by to mohl udelat jeho manazer pro region , ale ten je duni jak prazdny sud od piva a netusi o cem je rec...
Zel to byla jina firma kde se z toho poucili. Jine korporaty ceka asi podobna cesta. -
Vlada je odpovedna za rizeni. Na koho a jak se to deleguje je podruzne. Ale je pochopitelne, ze jako poradce mistopredsedy vlady pro digitalizaci budete hloupe hledat na koho to hodit a manazerskou odpovednost neprijmete. Zato kdyby vse probehlo hladce, tak se bude vykladat, jak skvele a uzasne to ta vlada zaridila :-) To uz toho posledniho ajtaka na konci retezce nikdo vyzdvihovat nebude... ten se hodi jen ve chvili, kdy je potreba na nekoho hodit nejaky prusvih.
ČLÁNKY DO MAILU