Webbcertifikatens livslängd ska förkortas kraftigt

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Detta är otroligt vanligt, skulle jag påstå. Samtidigt måste det ju ligga i en utvecklares egenintresse att förstå protokollen deras program använder? Exemplet jag gav i ett tidigare inlägg, med Javaprogram där certifikat måste skötas helt manuellt, kan jag inte tolka på något annat sätt än att någon överarbetad stackare fått order om att företagsdata ska vara ”encrypted in transit” för att man själva eller någon partner kräver detta av produkten, och så de läst exakt vad man behöver göra för att komma dit utan att läsa stycket om vad en publik certifikatsauktoritet gör.

Självklart borde jag lära mig hur dessa protokoll fungerar, men då försvinner själva poängen med att använda färdiga program. Ska jag lära mig hur dessa protokoll fungerar, så kan jag lika gärna skriva ett program som gör exakt det acme.sh och liknande gör. Och det har jag varken tid eller lust att ägna mig åt

Visa signatur

MSI PRO Z790-P WIFI | Intel i9 13900K | 128 GB DDR5
GTX 4070 12 GB
Samsung 990 Pro 4 TB | WD Black SN850X 2 TB Gen 4 | 2 x 1 TB Samsung 970 EVO Plus
3 x ASUS 27" | 1 x Philips 49"

Permalänk
Medlem
Skrivet av monotux:

Det är lätt att glömma att 47 dagar gäller cert för webbläsare, både på desktop och mobiler.

För applikationsservrar spelar det ingen roll. För öst/väst mellan sådana system kan du köra cert hur du vill. Det är först när du vill att webbläsare ska blandas in du behöver hantera kortare certifikatlivstider. Då är ett tips att du kastar in en reverseproxy som hanterar användar-vända cert (typ caddy, traefik et c).

Jag kan varmt rekommendera smallstep-ca (step-ca) med aktiverad ACME-endpoint. Då kan du skapa ett intermediate-certifikat för din interna CA och låta interna system få interna certifikat den vägen.

Det är också lätt att glömma att "Applikationsserver" är lite halvlöst definierat och otroligt många av dem serverar publika sidor till webbläsare. Hur många gamla Tomcats tror du inte ligger och bara tuggar på mellan omstarterna för att minnet tagit slut?

Visa signatur

Brass knuckles and a 2x4

Permalänk
Skrivet av jonasc:

Det är också lätt att glömma att "Applikationsserver" är lite halvlöst definierat och otroligt många av dem serverar publika sidor till webbläsare. Hur många gamla Tomcats tror du inte ligger och bara tuggar på mellan omstarterna för att minnet tagit slut?

För många. Nu får ”vi” äntligen tillfälle att hitta dem alla och fundera på om de ska moderniseras eller avvecklas. 😆

Permalänk
Medlem
Skrivet av jonasc:

Det är också lätt att glömma att "Applikationsserver" är lite halvlöst definierat och otroligt många av dem serverar publika sidor till webbläsare. Hur många gamla Tomcats tror du inte ligger och bara tuggar på mellan omstarterna för att minnet tagit slut?

Jag har jobbat länge nog med ops för att inte vilja tänka på det där sista (-:

Visa signatur

There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors.

@oscar:prutt.party / monotux@freenode