Změna certifikátu a Public-Key-Pin
Martin Kraus
lists_mk na wujiman.net
Čtvrtek Červen 23 10:18:28 CEST 2016
On Thu, Jun 23, 2016 at 09:59:16AM +0200, Zdeněk Janiš wrote:
> Jaká je rozumná hodnota pro max-age, aby to dávalo ještě smysl, když Let’s
> Encrypt vydává platnost certifikátu na 90dnů?
ten hash se pocita z verejneho klice, takze dokud zustane klic stejny, tak je i pin
stejny.
rfc nejak doporucuje 60 dnu, ale vyzniva to jako velmi volne doporuceni
https://tools.ietf.org/html/rfc7469#section-4.1
zavisi jak casto uzivatele na ten server jdou. pokud jednou za rok tak je asi
pinning zbytecny. kratky interval take nema moc smysl, takze mene jak 30 dni
bych asi nedaval.
zaroven tedy rfc doporucuje mit predpublikovany zalozni klic (udrzovany
offline) pro pripad nutne rychle vymeny.
mk
Další informace o konferenci Linux