Našel a vyzkoušel jsem postupy na generování hashe jak z privatniho tak i veřejného klíče. Vždy byl hash stejný. Ale to není předmětem této diskuze. Platnost 60 dnů by znamenalo využít jen 1/3 doby platnosti certifikátu (90 dnů). Což se mi jeví jako plýtvání. Platnost 30 dnů by znamenalo využít 2/3 doby platnosti a přitom je "ochrana" snesitelná. Znamenalo by to generovat nový klíč a zveřejnit nový hash nejpozději 31 dnů před ukončením platnosti současného. A v den ukončení současného certifikátu začít používat nový. Vycházím z principu,  že certbot v nejjednodušším nastavení vygeneruje jak privátní tak i veřejný klíč a zařídí podpis. Určitě by šlo si privátní vygenerovat a pomocí žádosti si nechat generovat a podepsat veřejný. Pak by se hash neměnil a měl stálou platnost. V tomto případě by časově mělo smysl mít i záložní off-line klíč pro případ nutné výměny.  Jen by se k němu musel nechat vygenerovat podepsaný veřejný klíč. Ujedné certifikační autority (tuším startssl.com a placený certifikát) jsem ale měl problém dvakrát použít stejnou žádost pro generování certifikátu, což mi potvrdila i technická podpora autority. Uvidíme jak to bude u Let’s Encrypt. Děkuji a přeji pěkný den. Zdeněk Janiš Dne 23. 6. 2016 10:18 napsal uživatel Martin Kraus : > > On Thu, Jun 23, 2016 at 09:59:16AM +0200, Zdeněk Janiš wrote: > > Jaká je rozumná hodnota pro max-age, aby to dávalo ještě smysl, když Let’s > > Encrypt vydává platnost certifikátu na 90dnů? > > ten hash se pocita z verejneho klice, takze dokud zustane klic stejny, tak je i pin > stejny. > > rfc nejak doporucuje 60 dnu, ale vyzniva to jako velmi volne doporuceni > > https://tools.ietf.org/html/rfc7469#section-4.1 > > zavisi jak casto uzivatele na ten server jdou. pokud jednou za rok tak je asi > pinning zbytecny. kratky interval take nema moc smysl, takze mene jak 30 dni > bych asi nedaval. > > zaroven tedy rfc doporucuje mit predpublikovany zalozni klic (udrzovany > offline) pro pripad nutne rychle vymeny. > > mk > _______________________________________________ > Linux mailing list > Linux@linux.cz > http://www.linux.cz/mailman/listinfo/linux