Webbcertifikatens livslängd ska förkortas kraftigt

Är inte detta en icke fråga sen man börja automatisera detta?

När det gäller onlinetjänster på det publika nätet så känns det vettigt.

Det finns dock många certifikat i olika prylar och det är inte helt oriskabelt att låta certifikat gå ut, se på denna vars kattlucka fick ett utgående certifikat på kvällen: https://www.reddit.com/r/Catmemes/s/EocFZBFAzB
Så längre än ett år kommer nog många köra på annat.

Det är ju dock en avsevärd skillnad på att detta börjat automatiseras (primärt då med ACME) och att allt skulle vara automatiserat nu.

Den underliggande poängen är väl dock automation (och övervakning), inte att det ska kommas ihåg.

Det verkar handla om:
"47 days = 42 days (6 weeks) + 5 days early renewal", så i praktiken 42-47 beroende på hur långt i förväg man förnyar, såvitt jag förstår.

200 days = 180 days (6 months) + 20 days early renewal
100 days = 90 days (3 months) + 10 days early renewal
47 days = 42 days (6 weeks) + 5 days early renewal

Antar att vi kommer att få se mer av detta framöver, för diverse enheter...

Därför funkar inte din Chromecast just nu

Impending massive pain in the ass, som jag ser det. Kommer vara problem med utgångna certifikat tamigfan överallt. Och "kul" att tvingas uppdatera certifikat hela jävla tiden i de fall det inte går att automatisera på något väldigt smidigt sätt.

Jag kände också spontant att detta var dåligt då det är så vanligt att certifikaten inte förnyas förens det blir ett problem. Blir gärna att ingen tar bollen att hålla koll på förnyelserna. Men om man tänker ett varv till så är det just nu ett problem förmodligen för att det sker så sällan. Det görs en gång per år sen glöms det bort. Detta kan förmodligen bli bättre när det är en månatlig process och en stående mer frekvent rutin. Kankse det kan bli lite bättre rotation på nycklarna också om det blir mer tvingat fokus på detta.

Det är så enkelt som meningen med livet plus fem arbetsdagar!

Absolut är det så, men det känns som att om man helt ska automatisera alla sådana säkerhetsrutiner så kan man lätt introducera oanade andra säkerhetsproblem

Det blir ju en tjänst till att drifta, underhålla, livscykelhantera användare på, …

Det blir nog bra om ett tag, men jag tror långt ifrån alla är helt redo

Hm, provade det nu men gick inte hur smidigt som helst.
Ersatte faktiskt host med [host], går att köra en nslookup mot den host som den klagar på så vet inte vad problemet är. Får googla lite.
{"type":"urn:ietf:params:acme:error:dns","detail":"DNS problem: NXDOMAIN looking up A for [host] - check that a DNS record exists for this domain; DNS problem: NXDOMAIN looking up AAAA for [host] - check that a DNS record exists for this domain","status":400,"instance":null}

Men det är väl lite av min erfarenhet när det kommer till saker man hör är supersmidiga - oftast lyckas jag ändå stöta på problem.

Edit: Provade på en annan webserver, där kraschar bara win-acme så fort man försöker skapa cert.
("WinHttpException"): "Error 12175 calling WINHTTP_CALLBACK_STATUS_REQUEST_ERROR, 'A security error occurred'."
Wrapped in "HttpRequestException": "An error occurred while sending the request."

Så nä, inte supersmidigt för en annan.

Inställer mig på kaos redan nu, självklart kommer det att ske kl 17:00 på en Fredag

"chromecast problemet" kommer bli vanligare känns det som.