Lets encrypt pro home asistant
Admin HWnews
hwnews na cncnet.info
Úterý Leden 9 09:50:56 CET 2024
Hmm, blby je, ze pro vetsinu normalnich lidi je tohle scifi a ja to tak
trochu chapu...nicmene neverim, ze se to zmeni...bude se to muset nejak
zjednodusit.
Cely leta jsme meli na nasem webu certifikat podepsany nasi certifikacni
autoritou Postsignum...je to regulerni CA se vsema nalezitostma a
zastitena statnim podnikem. Bohuzel neni sirena v ramci duveryhodnych CA
s woknama, browserama atd. ... coz ale v podstate neni nic
nespravneho...v podstate by to naopak mela byt ta spravna cesta, ze si
certifikaty CA nahrajete sami a jen tech kterym duverujete.
Bohuzel leta nam volaji rozcileni zakaznici (predevsim novi a nebo pokud
se zmeni osazenstvo ve firme), ze nam nekdo hacknul server, ze ho mame
spatne zabezpecenej a kdovijake dalsi katastroficke scenare...nekteri to
dokonce chteli rozmaznout v novinach apod. Takze nakonec jsme chca
nechca abysme meli pokoj koupili certifikaty od Geotrustu, ktery je
siren v ramci woken a vsichni jsou spokojeni...az na nas samozrejme,
protoze to stoji penize. Pritom je to horsi situace z hlediska bezpecnosti.
RV
Dne 09.01.2024 v 9:25 Jindrich Fucik napsal(a):
> mno to se přeci nevylučuje. Rozdíl je jen v tom, že pokud použiju nějakou profláklou autoritu, které věří kdejakej browser, tak si ta autorita pamatuje fingerprint toho klíče. Pokud si klíče vygeneruji sám, tak se ostatní prohlížeče neustále ptají, jestli je ten fingerprint v pořádku. A hrozí teoretické riziko, že nebude a že mi někdo podstrčí komunikaci s podobným a já to přehlédnu.
> Takže pokud se jedná jen o "málo" uživatelů, tak to není tak velký problém. Pokud se navíc jedná o málo klientů (prohlížečů), tak tam mohu veřejnou část nahrát jako důvěryhodnou a on se přestane ptát.
>
> Docela běžně to používám na domácí maily - těch pár klientů má certifikát v sobě a ostatní mne nezajímají.
>
> ---------- Původní e-mail ----------
> Od: Šerých Jakub <Serych na panska.cz>
> Komu: HW-news <hw-list na list.hw.cz>
> Datum: 8. 1. 2024 21:11:27
> Předmět: RE: Lets encrypt pro home asistant
>
> Ano, k tomu certifikát je, ale nadto je komunikace prostřednictvím https šifrovaná, takže se vám nikdo nemůže cestou hrabat v packetech a pak se vám pokoušet domácnost ovládat. Zrovna HA bych si tedy bez https nikdy nedovolil pustit do veřejného netu.
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
Další informace o konferenci Hw-list