Podání #7399
uzavřený
Certificate Transparency u pirati.cz
100%
Popis
Ahoj,
chtěl jsem si projet vystavené pro doménu pirati.cz. S hrůzou jsem zjistil, že Cloudflare si nechává vystavovat certifikáty pro tuto doménu u certifikační autority COMODO:
https://crt.sh/?q=pirati.cz
Děje se tak přesto, že CloudFlare využíváme jen pro DNS, ne jako CDN. Za těchto okolností se neměla tato služba nikdy začít používat.
První certifikát byl vystaven 2014-10-03. Poslední platí až do 2017-11-22.
Nějaká diskuse včetně citací CloudFlare zde:
https://groups.google.com/forum/#!topic/certificate-transparency/1tAcVS17wMM
Návrh řešení:
1) Nastavit CAA záznam, který znemožní certifikační autoritě COMODO vystavovat další certifikáty
2) Změnit poskytovatele DNS na takového, který tohle nedělá (snad jakýkoliv, který není zároveň CDN)
3) Zprovoznit vlastní DNS
Krok 1 by měl jít realizovat prakticky okamžitě, krok 2 v rámci dnů. Krok 3 bude složitější.
Ještě by šlo zvážit HPKP, ale to je takové neobratné.
Aktualizováno uživatelem Martin Rejman před asi 6 roky(ů)
- Stav změněn z Nový na Čeká se na řešitele
Ahoj, v jakém je to stavu ?
Aktualizováno uživatelem Martin Rejman před asi 6 roky(ů)
- Přiřazeno nastaven na Ondřej Profant
Lze to nějak posunout ?
Aktualizováno uživatelem Martin Rejman před asi 6 roky(ů)
- % Hotovo změněn z 0 na 60
- Stav změněn z Čeká se na řešitele na Řešit později
Bod 1 splněn.
Otázka DNS serverů vlastních nebo jiných nemá nyní prioritu.
Aktualizováno uživatelem Martin Rejman před asi 6 roky(ů)
- Přiřazeno změněn z Ondřej Profant na Stanislav Štipl
Aktualizováno uživatelem Martin Rejman před téměř 6 roky(ů)
Mohli bychom toto řešit s Andrejem ?
Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)
- Přiřazeno změněn z Stanislav Štipl na Andrej Ramašeuski
- Stav změněn z Řešit později na Čeká se na řešitele
Prosím opět o aktualizaci stavu, diskutovalo se to hodně.
Aktualizováno uživatelem Andrej Ramašeuski před více než 5 roky(ů)
Jsem pro krok 3 a o moc slozitejsi to neni. DNS uz nejaka leta spravuji. Samozrejmosti ale je aspon 2 VPS a jeste par externich slave serveru do rezervy. V pripade kroku 2 (i kdyz bych ho bral jen jako docasne reseni pred zprovoznenim vlastni DNS) bych doporucil dns.he.net ktery dloholete pouzivam.
Aktualizováno uživatelem Andrej Ramašeuski před téměř 5 roky(ů)
Muzeme mit vlastni DNS, ale aspon 1-2 sekundarni servery bych provozoval externe. treba i u cloudflare, i kdyz to zrovna neni nejlevnejsi varianta.
Aktualizováno uživatelem Andrej Ramašeuski před asi 4 roky(ů)
- % Hotovo změněn z 60 na 100
- Stav změněn z Čeká se na řešitele na Dokončen
je to ve stavu ze certifikaty generujeme pro jednotlive zaznamy