On 24-Mar-21 14:29, Petru Rațiu wrote: > In afara de aspectul financiar (care zici ca nu te apasa pentru ca LE), > problemele sunt exact aceleasi pe care le-ai avea cand reinnoiesti > certificatul/cheia (plus niste chestii dragute daca vrei sa faci session > resumption de TLS 1.2+, dar sigur nu faci de-alea ca ai fi stiut de > problema).
ar fi interesant de stiut in cazul mai multor servere cum procedeaza clientul pentru session resumption (mai ales pe la tls 1.3 unde s-ar vrea 0-rtt), daca o face dupa dns sau dupa ip-ul la care se conecteaza ... n-am sapat chiar atat de jos dar ceva imi zice ca depinde de implementare iar in cazul in care nimeresti pe alt server clientul oricum nu va fi recunoscut (ca nu e in session cache), indiferent daca cheile si certificatele sunt aceleasi sau diferite (decat eventual daca ai o tabela globala de cache de sesiuni ssl, ceea ce mi se pare total sf, nici nu stiu daca e posibil de implementat, nu mai vorbim de fezabil) ideea era urmatoarea: cu sa zicem mai multe servere distincte pe acelasi domeniu, eventual si in locatii diferite (deci fara posibilitatea de a avea un unic LB in fata); ai 2 variante: 1. fiecare server cu cheile / certificate lui, solutie de tipul fire & forget (binenteles cu monitorizarea de rigoare, ca sa nu ai surprize, desi s-a vazut la case infinit mai mari :-P); bonus, dupa cum ziceai, cheia privata nu paraseste serverul, everybody happy 2. o masina suplimentara care sa se ocupe de reinnorea certificatelor, pe care apoi sa le distribuie tuturor serverelor; efort in plus, inca o rotita care poate sa se blocheze samd, complicatie inutila(?) intrebarea era de fapt ce impediment ar exista in cazul 1, evident mai simplu; pana acum nu am gasit niciunul (in afara de a "polua" dublu, triplu, etc. lista globala de certificate - dar vorbim de cateva servere, nu de zeci, sute, mii etc) nu am vazut pe nicaieri in recomandarile LE sa ai un singur certificat per domeniu, nu am gasit nimic legat de faptul ca vreun client ar putea stramba din nas ca pentru acelasi domeniu exista mai multe certificate (corect cazul expus de tine cu reinnoirea certificatelor unde nu ai cum sa le faci chiar simultan pe toate masinile); insa intreb, sa fiu sigur ca nu mi-a scapat ceva Alex _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
