Let's encrypt: platnost overeni domeny

[Pavel Kankovsky]

On Fri, 2 Dec 2016, Jan Kasprzak wrote:

> : >A pripadne - kdyz si vyrobim novy klic "account key" a overim prirazeni
> : >k domene, muzu pak s timto klicem vypsat jake dalsi account keys jsou
> : >k te domene prirazene a pripadne mit moznost je revokovat?
> :
> : To asi ne. Nezdá se, že by byla nějaká cesta, jak se dostat k 
> : autorizacím pro jiný účet, byť by byly pro stejný identifikátor.
>
> 	A jak jste teda pri zprovoznovani testovali pripad, kdy je treba
> obnovit nejen certifikat, ale i autorizaci?

Testování? Takové věci u nás neděláme! :)

Ne, vážně... certifikáty od LE jsem (zatím?) použil jen tam, kde na tom 
tolik nezáleží, takže se to v nejhorším případě celé zahodí.

Pokud jsem to pochopil správně, tak obnovu autorizace lze prostě provést 
tak, že požádám o novou autorizaci a nechám jí znovu ověřit. A pokud by se 
mi povedlo ztratit klíče k původnímu účtu, tak prostě můžu vyrobit nový a 
autorizovat ten. A ty staré autorizace prostě časem vyhnijou.

A kdyby bylo obnovu potřeba provést kvůli podezření na kompromitaci, tak 
by to bylo napínavější, ale snad zase současně nedojde ke ztrátě klíčů od 
účtu. (Nicméně koukám na to, že verze ACME, kterou LE implementuje, asi 
vůbec nedovoluje autorizace revokovat. Maximálně lze provést recovery účtu 
a změnu jeho klíče, aby se k nim omezil přstup.)

-- 
Pavel Kankovsky aka Peak                      "Que sçay-je?"