Lets encrypt pro home asistant

Admin HWnews hwnews na cncnet.info
Úterý Leden 9 09:50:56 CET 2024 

Hmm, blby je, ze pro vetsinu normalnich lidi je tohle scifi a ja to tak 
trochu chapu...nicmene neverim, ze se to zmeni...bude se to muset nejak 
zjednodusit.

Cely leta jsme meli na nasem webu certifikat podepsany nasi certifikacni 
autoritou Postsignum...je to regulerni CA se vsema nalezitostma a 
zastitena statnim podnikem. Bohuzel neni sirena v ramci duveryhodnych CA 
s woknama, browserama atd. ... coz ale v podstate neni nic 
nespravneho...v podstate by to naopak mela byt ta spravna cesta, ze si 
certifikaty CA nahrajete sami a jen tech kterym duverujete.

Bohuzel leta nam volaji rozcileni zakaznici (predevsim novi a nebo pokud 
se zmeni osazenstvo ve firme), ze nam nekdo hacknul server, ze ho mame 
spatne zabezpecenej a kdovijake dalsi katastroficke scenare...nekteri to 
dokonce chteli rozmaznout v novinach apod. Takze nakonec jsme chca 
nechca abysme meli pokoj koupili certifikaty od Geotrustu, ktery je 
siren v ramci woken a vsichni jsou spokojeni...az na nas samozrejme, 
protoze to stoji penize. Pritom je to horsi situace z hlediska bezpecnosti.

RV

Dne 09.01.2024 v 9:25 Jindrich Fucik napsal(a):
> mno to se přeci nevylučuje. Rozdíl je jen v tom, že pokud použiju nějakou profláklou autoritu, které věří kdejakej browser, tak si ta autorita pamatuje fingerprint toho klíče. Pokud si klíče vygeneruji sám, tak se ostatní prohlížeče neustále ptají, jestli je ten fingerprint v pořádku. A hrozí teoretické riziko, že nebude a že mi někdo podstrčí komunikaci s podobným a já to přehlédnu.
> Takže pokud se jedná jen o "málo" uživatelů, tak to není tak velký problém. Pokud se navíc jedná o málo klientů (prohlížečů), tak tam mohu veřejnou část nahrát jako důvěryhodnou a on se přestane ptát.
> 
> Docela běžně to používám na domácí maily - těch pár klientů má certifikát v sobě a ostatní mne nezajímají.
> 
> ---------- Původní e-mail ----------
> Od: Šerých Jakub <Serych na panska.cz>
> Komu: HW-news <hw-list na list.hw.cz>
> Datum: 8. 1. 2024 21:11:27
> Předmět: RE: Lets encrypt pro home asistant
> 
> Ano, k tomu certifikát je, ale nadto je komunikace prostřednictvím https šifrovaná, takže se vám nikdo nemůže cestou hrabat v packetech a pak se vám pokoušet domácnost ovládat. Zrovna HA bych si tedy bez https nikdy nedovolil pustit do veřejného netu.
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list