Ancestors

Toot

Written by Kris on 2025-01-17 at 06:15

Certificates mit Tageszulassung

https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/

Sechs Tage sind "täglich und Puffer".

CC @icing

=> More informations about this toot | More toots from isotopp@infosec.exchange

Descendants

Written by Stefan Eissing on 2025-01-17 at 07:00

@isotopp Jaja, ich werde ACME profile unterstützen. Was das RenewWindow betrifft, da wird wohl etwas Überlegung und Info von LE nötig sein.

=> More informations about this toot | More toots from icing@chaos.social

Written by Kris on 2025-01-17 at 07:08

@icing Die Diskussion im Pandemic Coping Discord going in dieselbe Richtung. LE scheint "täglich" anzustreben war der Konsens. Aber eine Aussage fehlt.

Das ist eine Menge Server Restarts dann. Immerhin graceful. Dafür dann immer doppelt.

=> More informations about this toot | More toots from isotopp@infosec.exchange

Written by Christoph Petrausch on 2025-01-17 at 07:26

@isotopp @icing bin Mal gespannt wie die certificate transparency logs damit fertig werden. Das steigert die Logmenge ja schon so um Faktor 15 also eine Größenordnung. Denke daher rollt LE das auch erst langsam aus. Und natürlich um ihre eigenen Infra nicht zu DDoSen.

=> More informations about this toot | More toots from hikhvar@norden.social

Written by Stefan Eissing on 2025-01-17 at 07:41

@hikhvar @isotopp Ich denke ACME clients sollten als default kein Profile verwenden und daher wird die grosse Mehrheit bei 90 Tagen bleiben.

Was meines Erachtens richtig ist. Meine sites sind alle statisch und low risk. 90 Tage sind fein.

SMTP ist dynamischer. Aber wie relevant ist ein geklautes cert da? Wer will das?

=> More informations about this toot | More toots from icing@chaos.social

Written by Christoph Petrausch on 2025-01-17 at 08:04

@icing @isotopp 6 Tage als Default würde es Let's Encrypt erlauben damit auch ihre intermediate so kurz laufen zu lassen und damit wäre ein breach ihrer Infrastruktur nicht mehr so katastrophal und sie könnten damit kleinere Pops bauen rund um die Welt.

=> More informations about this toot | More toots from hikhvar@norden.social

Written by Stefan Eissing on 2025-01-17 at 07:33

@isotopp Warum doppelt?

=> More informations about this toot | More toots from icing@chaos.social

Written by Kris on 2025-01-17 at 08:08

@icing Du hast Recht. Ich muß den Apache nur dann zweimal graceful'en, wenn ich eine neue Domain zugefügt habe. Das neue Cert ist dann beim ersten Mal ready und beim zweiten Mal aktiv.

Wenn es erneuert wird geht es automatisch, IIRC.

=> More informations about this toot | More toots from isotopp@infosec.exchange

Written by Hella on 2025-01-17 at 07:51

@isotopp @icing

Ich finde folgendes noch interessanter für manche Zwecke: "We will support including IP addresses as Subject Alternative Names in our six-day certificates. This will enable secure TLS connections, with publicly trusted certificates, to services made available via IP address, without the need for a domain name."

=> More informations about this toot | More toots from unixwitch@social.tchncs.de

Proxy Information

Original URL: gemini://mastogem.picasoft.net/thread/113842225273159426
Status Code: Success (20)
Meta: text/gemini
Capsule Response Time: 285.2329 milliseconds
Gemini-to-HTML Time: 1.222314 milliseconds

This content has been proxied by September (ba2dc).