On Wed, Mar 24, 2021 at 12:57 PM Alex 'CAVE' Cernat <c...@cernat.ro> wrote:
> daca tot vad ca mai sunt miscari in front pe aici, sa vin cu o intrebare > abisala: > > in cazul in care mai multe masini diferite servesc acelasi domeniu (spre > exemplu din motive de geo-load-balancing, sau pur si simplu LB via dns > RR), care ar fi partea negativa in faptul ca fiecare server ar avea > certificat diferit / cheie diferita ? (vorbim desigur de letsencrypt, ca > doar se apuca nimeni de nebun sa cumpere x certificate diferite) > > O sa razi, dar chiar am avut certificate diferite pentru ceva similar cu asta. Sunt diferite aspecte, nu mi-e clar tu ce problema ai de fapt sau doar vrei sa te afli in treaba. In afara de aspectul financiar (care zici ca nu te apasa pentru ca LE), problemele sunt exact aceleasi pe care le-ai avea cand reinnoiesti certificatul/cheia (plus niste chestii dragute daca vrei sa faci session resumption de TLS 1.2+, dar sigur nu faci de-alea ca ai fi stiut de problema). > desigur, conectarea ulterioara la ACEEASI MASINA vine cu niste > posibilitati de resume session samd, dar asta e cu totul alta discutie; > cat timp in mod normal cheia publica nici nu ar mai trebui sa fie > folosita ca pe vremuri la stabilirea cheii simetrice (ca in douazeci > douasunu vrem forward secrecy) incerc sa gasesc un downside in a folosi > certificate / chei multiple pentru acelasi domeniu si nu gasesc > > In general chiar se recomanda sa nu paraseasca cheia privata serverul pe care a fost generata, daca o postesti de colo-colo e un risc mare de leak. Vezi insa ca trebuie sa fi luat cu brio examenul (de la Scoala Vietii TM) de management al certificatelor cat sa nu te trezesti ca ai unul expirat $undeva si nu stii unde. Personal consider ca riscul de "am uitat sa schimb cheia peste tot" depaseste cu mult orice alte probleme (si nu, aia cu "am certbot in cron" nu e destul, iti trebuie monitorizare activa). Parerea mea (TM). -- P. _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
