Projekt

Obecné

Profil

Podání #7399

uzavřený

Certificate Transparency u pirati.cz

Přidáno uživatelem Stanislav Štipl před více než 7 roky(ů). Aktualizováno před více než 4 roky(ů).

Stav:
Dokončen
Priorita:
Normální
Přiřazeno:
Kategorie:
-
Začátek:
29.08.2017
Uzavřít do:
% Hotovo:

100%

Odhadovaná doba:

Popis

Ahoj,

chtěl jsem si projet vystavené pro doménu pirati.cz. S hrůzou jsem zjistil, že Cloudflare si nechává vystavovat certifikáty pro tuto doménu u certifikační autority COMODO:
https://crt.sh/?q=pirati.cz

Děje se tak přesto, že CloudFlare využíváme jen pro DNS, ne jako CDN. Za těchto okolností se neměla tato služba nikdy začít používat.

První certifikát byl vystaven 2014-10-03. Poslední platí až do 2017-11-22.

Nějaká diskuse včetně citací CloudFlare zde:

https://groups.google.com/forum/#!topic/certificate-transparency/1tAcVS17wMM

Návrh řešení:
1) Nastavit CAA záznam, který znemožní certifikační autoritě COMODO vystavovat další certifikáty
2) Změnit poskytovatele DNS na takového, který tohle nedělá (snad jakýkoliv, který není zároveň CDN)
3) Zprovoznit vlastní DNS

Krok 1 by měl jít realizovat prakticky okamžitě, krok 2 v rámci dnů. Krok 3 bude složitější.

Ještě by šlo zvážit HPKP, ale to je takové neobratné.

Aktualizováno uživatelem Martin Rejman před téměř 7 roky(ů)

  • Stav změněn z Nový na Čeká se na řešitele

Ahoj, v jakém je to stavu ?

Aktualizováno uživatelem Martin Rejman před více než 6 roky(ů)

  • Přiřazeno nastaven na Ondřej Profant

Lze to nějak posunout ?

Aktualizováno uživatelem Martin Rejman před více než 6 roky(ů)

  • Stav změněn z Čeká se na řešitele na Řešit později
  • % Hotovo změněn z 0 na 60

Bod 1 splněn.

Otázka DNS serverů vlastních nebo jiných nemá nyní prioritu.

Aktualizováno uživatelem Martin Rejman před více než 6 roky(ů)

  • Přiřazeno změněn z Ondřej Profant na Stanislav Štipl

Aktualizováno uživatelem Martin Rejman před více než 6 roky(ů)

Mohli bychom toto řešit s Andrejem ?

Aktualizováno uživatelem Martin Rejman před více než 6 roky(ů)

  • Stav změněn z Řešit později na Čeká se na řešitele
  • Přiřazeno změněn z Stanislav Štipl na Andrej Ramašeuski

Prosím opět o aktualizaci stavu, diskutovalo se to hodně.

Aktualizováno uživatelem Andrej Ramašeuski před více než 6 roky(ů)

Jsem pro krok 3 a o moc slozitejsi to neni. DNS uz nejaka leta spravuji. Samozrejmosti ale je aspon 2 VPS a jeste par externich slave serveru do rezervy. V pripade kroku 2 (i kdyz bych ho bral jen jako docasne reseni pred zprovoznenim vlastni DNS) bych doporucil dns.he.net ktery dloholete pouzivam.

Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)

Chceme stále vlastní DNS ?

Aktualizováno uživatelem Andrej Ramašeuski před více než 5 roky(ů)

Muzeme mit vlastni DNS, ale aspon 1-2 sekundarni servery bych provozoval externe. treba i u cloudflare, i kdyz to zrovna neni nejlevnejsi varianta.

Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)

V jakém stavu jsme nyní ?

Aktualizováno uživatelem Andrej Ramašeuski před více než 4 roky(ů)

  • Stav změněn z Čeká se na řešitele na Dokončen
  • % Hotovo změněn z 60 na 100

je to ve stavu ze certifikaty generujeme pro jednotlive zaznamy

Také k dispozici: Atom PDF