Re: Změna certifikátu a Public-Key-Pin

zdenek.janis na brajan.cz zdenek.janis na brajan.cz
Pátek Červen 24 07:39:55 CEST 2016


Našel a vyzkoušel jsem postupy na generování hashe jak z privátniho tak 
i veřejného klíče. Vždy byl hash stejný. Ale to není předmětem této diskuze.

Platnost 60 dnů by znamenalo využít jen 1/3 doby platnosti certifikátu 
(90 dnů). Což se mi jeví jako plýtvání.

Platnost 30 dnů by znamenalo využít 2/3 doby platnosti a přitom je 
"ochrana" snesitelná. Znamenalo by to generovat nový klíč a zveřejnit 
nový hash nejpozději 31 dnů před ukončením platnosti současného. A v den 
ukončení současného certifikátu začít používat nový.

Vycházím z principu,  že certbot v nejjednodušším nastavení vygeneruje 
jak privátní tak i veřejný klíč a zařídí podpis. Určitě by šlo si 
privátní vygenerovat a pomocí žádosti si nechat generovat a podepsat 
veřejný. Pak by se hash neměnil a měl stálou platnost. V tomto případě 
by časově mělo smysl mít i záložní off-line klíč pro případ nutné 
výměny.  Jen by se k němu musel nechat vygenerovat podepsaný veřejný klíč.

Ujedné certifikační autority (tuším startssl.com a placený certifikát) 
jsem ale měl problém dvakrát použít stejnou žádost pro generování 
certifikátu, což mi potvrdila i technická podpora autority. Uvidíme jak 
to bude u Let’s Encrypt.

Děkuji a přeji pěkný den.

Zdeněk Janiš

------------- další část ---------------
An embedded and charset-unspecified text was scrubbed...
Name: Část připojené zprávy
URL: <http://www.linux.cz/pipermail/linux/attachments/20160624/8ed7c69b/attachment.ksh>


Další informace o konferenci Linux