Re: Změna certifikátu a Public-Key-Pin
zdenek.janis na brajan.cz
zdenek.janis na brajan.cz
Pátek Červen 24 07:39:55 CEST 2016
Našel a vyzkoušel jsem postupy na generování hashe jak z privátniho tak
i veřejného klíče. Vždy byl hash stejný. Ale to není předmětem této diskuze.
Platnost 60 dnů by znamenalo využít jen 1/3 doby platnosti certifikátu
(90 dnů). Což se mi jeví jako plýtvání.
Platnost 30 dnů by znamenalo využít 2/3 doby platnosti a přitom je
"ochrana" snesitelná. Znamenalo by to generovat nový klíč a zveřejnit
nový hash nejpozději 31 dnů před ukončením platnosti současného. A v den
ukončení současného certifikátu začít používat nový.
Vycházím z principu, že certbot v nejjednodušším nastavení vygeneruje
jak privátní tak i veřejný klíč a zařídí podpis. Určitě by šlo si
privátní vygenerovat a pomocí žádosti si nechat generovat a podepsat
veřejný. Pak by se hash neměnil a měl stálou platnost. V tomto případě
by časově mělo smysl mít i záložní off-line klíč pro případ nutné
výměny. Jen by se k němu musel nechat vygenerovat podepsaný veřejný klíč.
Ujedné certifikační autority (tuším startssl.com a placený certifikát)
jsem ale měl problém dvakrát použít stejnou žádost pro generování
certifikátu, což mi potvrdila i technická podpora autority. Uvidíme jak
to bude u Let’s Encrypt.
Děkuji a přeji pěkný den.
Zdeněk Janiš
------------- další část ---------------
An embedded and charset-unspecified text was scrubbed...
Name: Část připojené zprávy
URL: <http://www.linux.cz/pipermail/linux/attachments/20160624/8ed7c69b/attachment.ksh>
Další informace o konferenci Linux