Podání #7399
uzavřený
Certificate Transparency u pirati.cz
100%
Popis
Ahoj,
chtěl jsem si projet vystavené pro doménu pirati.cz. S hrůzou jsem zjistil, že Cloudflare si nechává vystavovat certifikáty pro tuto doménu u certifikační autority COMODO:
https://crt.sh/?q=pirati.cz
Děje se tak přesto, že CloudFlare využíváme jen pro DNS, ne jako CDN. Za těchto okolností se neměla tato služba nikdy začít používat.
První certifikát byl vystaven 2014-10-03. Poslední platí až do 2017-11-22.
Nějaká diskuse včetně citací CloudFlare zde:
https://groups.google.com/forum/#!topic/certificate-transparency/1tAcVS17wMM
Návrh řešení:
1) Nastavit CAA záznam, který znemožní certifikační autoritě COMODO vystavovat další certifikáty
2) Změnit poskytovatele DNS na takového, který tohle nedělá (snad jakýkoliv, který není zároveň CDN)
3) Zprovoznit vlastní DNS
Krok 1 by měl jít realizovat prakticky okamžitě, krok 2 v rámci dnů. Krok 3 bude složitější.
Ještě by šlo zvážit HPKP, ale to je takové neobratné.
Aktualizováno uživatelem 
Aktualizováno uživatelem