LE - Sechs-Tage-Zertifikate keine OCSP

[Ralph]

Es sind wieder zu viele "vermeintlich gute Ideen" im Umlauf um Dinge zu vereinfachen
https://www.heise.de/news/Let-s-Encrypt ... 69311.html

[Jolinar]

Es sind wieder zu viele "vermeintlich gute Ideen" im Umlauf um Dinge zu vereinfachen

Klingt irgendwie nach versteckter Kritik...

Ich finde die geplanten Änderungen nicht wirklich schlecht.
Kürze Zertifikat Laufzeiten sind dank vollständiger Automatisierung des Zertifikat Abrufs kein Problem, erhöhen aber durchaus die Sicherheit.
Auch daß die den ganzen Revoke Mist rausgeschmissen haben, ist begrüßenswert...Cert Revoking hat eh nie zuverlässig funktioniert.
Und einige Geeks unter uns wird besonders diese Änderung freuen:

Die Sechs-Tage-Zertifikate können für IP-Adressen ausgestellt werden

[Ralph]

Es sind wieder zu viele "vermeintlich gute Ideen" im Umlauf um Dinge zu vereinfachen

Klingt irgendwie nach versteckter Kritik...

Damit liegst Du richtig .. ist mehr oder weniger auch nur eine Kritik an der gesamten Situation ...
Ich befürchte nur wg. der kürzeren Laufzeit (erwähnen die ja selbst) mögliche Fehlfunktionen z.b. durch die erhöhte Anzahl von nötigen Lookups und halt entsprechend mehr Load wenn LE renewals in einem kurzen Zeitraum ausgeführt werden müssen.
Was dann möglicherweise "mehr" manuelles Eingreifen erforderlich macht.

[Tobi]

Cool ist, dass man mit den kommenden Zertifikaten dann auch IPs absichern kann.

[Ralph]

Klingt irgendwie nach versteckter Kritik...

Joli, ich gehe ja immer vom schlimmsten Fall aus ... von Geburt an
Aber beim lesen ist mir da auch etwas bzgl. Geldmangel aufgefallen, die 6 Tage Version könnte eventl. Gratis bleiben und eine zahlungspflichtige "Luxus" Version ins Spiel kommen ... so ähnlich wie bei Re-Captcha

[Jolinar]

ich gehe ja immer vom schlimmsten Fall aus ... von Geburt an

Wäre ich jetzt böse, würde ich deine Aussage so interpretieren, daß deine Geburt der schlimmste Fall war
Nein, natürlich nur Spaß

Aber beim lesen ist mir da auch etwas bzgl. Geldmangel aufgefallen, die 6 Tage Version könnte eventl. Gratis bleiben und eine zahlungspflichtige "Luxus" Version ins Spiel kommen ... so ähnlich wie bei Re-Captcha

Nein, das glaube ich eher weniger.
Für mich klingt es danach, daß LE seine Infrastruktur weiter optimieren will, um laufende Kosten zu minimieren.
Ein kostenpflichtiges LE Cert halte ich allein deswegen schon für unwahrscheinlich, weil die kostenfreien Certs ja das Alleinstellungsmerkmal von LE sind.

[Ralph]

Wäre ich jetzt böse, würde ich deine Aussage so interpretieren, daß deine Geburt der schlimmste Fall war
Nein, natürlich nur Spaß

haha, ja da habe ich auch schon drüber nachgedacht ... pessimistisch wie bin
Na ja, mal abwarten wie es klappt mit den renewals ... müßten dann nicht auch die LE Scripts angepasst / erweitert werden, bzw. die CronJobs dazu?

[Jolinar]

müßten dann nicht auch die LE Scripts angepasst / erweitert werden, bzw. die CronJobs dazu?

Wenn die Skripte von einem intelligenten Programmierer stammen, dann eher nicht. Letztlich ist es ja nur eine Abfrage nach dem Ablauf des Certs, um eine Erneuerung anzustoßen...