Vlákno názorů k článku Let's Encrypt komerční certifikáty ze státní správy nevytlačil od Danny - Neni lepsi resit pricinu - tzn. proc takova...

Neni lepsi resit pricinu - tzn. proc takova vec takovy "bastl", ze je problem ten certifikat vymenit a ukon automatizovat - nez brecet nad nasledky zkracene platnosti? :-) Doba platnosti na schopnost vymenit certifikat nema vliv, realne ta rucni prace vede k tomu, ze pak mate sluzby i cele hodiny nefunkcni jen proto, ze nejaky matlal nekde "nestihl" rucne ten certifikat vymenit.

Tyhle problémy většinou jsou u specializovaných jednoúčelových věcí kde dodavatel na váš požadavek háže bobek, sám tu automatizaci nedobastlíte a ke konkurenci nepřejdete protože alternativy nějak nejsou.

A jak to vypadá s návrhem zkrátit dobu platnosti certifikátu? viz https://www.root.cz/clanky/google-chce-omezit-platnost-certifikatu-na-90-dnu-zmena-zrejme-prijde-brzy/

Neumím si představit, že budu co 3 měsíce nasazovat nový certifikát - jsou místa, kde automatizaci prostě nelze použít - to v práci nebudu dělat nic jiného, sorryjako. :-)

Dokazu si takovou vec i predstavit, na druhou stranu takova vec urcite nepotrebuje byt vystavena primo do internetu, notabene naprimo iteragovat s uzivatelskym prohlizecem. Pokud k tomu "vyrobce" pristupuje jak popisujete, tak certifikaty budou ten posledni problem - tech moznych bezpecnostnich rizik bude s urcitosti blizici se jistote mnohem vic a pak je zadouci takovou vec maximalne izolovat. Vime jak tyhle "veci" funguji - pred dvaceti lety nekdo neco vyrobil a od te doby na to poradne nesahnul - a zadny certifikat to nezachrani, kdyz to ve finale pouziva sifry z muzea.

Někdy ta automatizace není možná i proto, že máte EV certifikáty, které je potřeba ručně potvrzovat, což ve firemním prostředí tu výměnu prodlouží i na více než týden (a nasazují se po datacentrech). Ten proces je zvládnutelný, bezvýpadklový, ale poněkud zdlouhavý.
Navíc: pokud za ty certíky platíte, firma to rozhodně nesvěří nějakému automatu - někdo to musí schválit.
Pak dávají certifikáty s roční platností smysl.

No, to se dostavame k tomu, jestli je cely proces je takto vubec spravny. Rucni schvalovani je zdroj chyb. Nekdy je lepsi zmenit cely proces, nez vymejslet rovnaky na vohejbaky. EV neni zdrojem vyssi bezpecnosti, to je jen chimera. Tech CA, kterym i vas prohlizec duveruje jsou mraky a jsou z ruznych koncu sveta. Podchytit nejaky podvrh nemusi byt vubec snadne - zvlast kdyz bude takovy utok treba cileny jen na vybranou skupinu uzivatelu - kdy navenek vsem ostatnim se zobrazi neco jineho (klidne per-source IP). Spolehat se na nejake "zelene zamecky" fakt nedava moc smysl, kdyz takovy certifikat muze vystavit treba nekdo z Ciny. Cely koncept EV je slepa cesta, prave proto ze tech certifikacnich autorit je tolik.