Page 1 of 1
LE - Sechs-Tage-Zertifikate keine OCSP
Posted: Thu 6. Feb 2025, 11:33
by Ralph
Es sind wieder zu viele "vermeintlich gute Ideen" im Umlauf um Dinge zu vereinfachen
https://www.heise.de/news/Let-s-Encrypt ... 69311.html
Re: LE - Sechs-Tage-Zertifikate keine OCSP
Posted: Thu 6. Feb 2025, 11:41
by Jolinar
Ralph wrote: ↑Thu 6. Feb 2025, 11:33
Es sind wieder zu viele "vermeintlich gute Ideen" im Umlauf um Dinge zu vereinfachen
Klingt irgendwie nach versteckter Kritik...
Ich finde die geplanten Änderungen nicht wirklich schlecht.
Kürze Zertifikat Laufzeiten sind dank vollständiger Automatisierung des Zertifikat Abrufs kein Problem, erhöhen aber durchaus die Sicherheit.
Auch daß die den ganzen Revoke Mist rausgeschmissen haben, ist begrüßenswert...Cert Revoking hat eh nie zuverlässig funktioniert.
Und einige Geeks unter uns wird besonders diese Änderung freuen:
Die Sechs-Tage-Zertifikate können für IP-Adressen ausgestellt werden
Re: LE - Sechs-Tage-Zertifikate keine OCSP
Posted: Thu 6. Feb 2025, 12:11
by Ralph
Jolinar wrote: ↑Thu 6. Feb 2025, 11:41
Ralph wrote: ↑Thu 6. Feb 2025, 11:33
Es sind wieder zu viele "vermeintlich gute Ideen" im Umlauf um Dinge zu vereinfachen
Klingt irgendwie nach versteckter Kritik...
Damit liegst Du richtig
.. ist mehr oder weniger auch nur eine Kritik an der gesamten Situation ...
Ich befürchte nur wg. der kürzeren Laufzeit (erwähnen die ja selbst) mögliche Fehlfunktionen z.b. durch die erhöhte Anzahl von nötigen Lookups und halt entsprechend mehr Load wenn LE renewals in einem kurzen Zeitraum ausgeführt werden müssen.
Was dann möglicherweise "mehr" manuelles Eingreifen erforderlich macht.
Re: LE - Sechs-Tage-Zertifikate keine OCSP
Posted: Thu 6. Feb 2025, 12:55
by Tobi
Cool ist, dass man mit den kommenden Zertifikaten dann auch IPs absichern kann.
Re: LE - Sechs-Tage-Zertifikate keine OCSP
Posted: Thu 6. Feb 2025, 16:58
by Ralph
Jolinar wrote: ↑Thu 6. Feb 2025, 11:41
Klingt irgendwie nach versteckter Kritik...
Joli, ich gehe ja immer vom schlimmsten Fall aus ... von Geburt an
Aber beim lesen ist mir da auch etwas bzgl. Geldmangel aufgefallen, die 6 Tage Version könnte eventl. Gratis bleiben und eine zahlungspflichtige "Luxus" Version ins Spiel kommen ... so ähnlich wie bei Re-Captcha
Re: LE - Sechs-Tage-Zertifikate keine OCSP
Posted: Thu 6. Feb 2025, 17:16
by Jolinar
Ralph wrote: ↑Thu 6. Feb 2025, 16:58
ich gehe ja immer vom schlimmsten Fall aus ... von Geburt an
Wäre ich jetzt böse, würde ich deine Aussage so interpretieren, daß deine Geburt der schlimmste Fall war
Nein, natürlich nur Spaß
Ralph wrote: ↑Thu 6. Feb 2025, 16:58
Aber beim lesen ist mir da auch etwas bzgl. Geldmangel aufgefallen, die 6 Tage Version könnte eventl. Gratis bleiben und eine zahlungspflichtige "Luxus" Version ins Spiel kommen ... so ähnlich wie bei Re-Captcha
Nein, das glaube ich eher weniger.
Für mich klingt es danach, daß LE seine Infrastruktur weiter optimieren will, um laufende Kosten zu minimieren.
Ein kostenpflichtiges LE Cert halte ich allein deswegen schon für unwahrscheinlich, weil die kostenfreien Certs ja das Alleinstellungsmerkmal von LE sind.
Re: LE - Sechs-Tage-Zertifikate keine OCSP
Posted: Thu 6. Feb 2025, 17:37
by Ralph
Jolinar wrote: ↑Thu 6. Feb 2025, 17:16
Wäre ich jetzt böse, würde ich deine Aussage so interpretieren, daß deine Geburt der schlimmste Fall war
Nein, natürlich nur Spaß
haha, ja da habe ich auch schon drüber nachgedacht ... pessimistisch wie bin
Na ja, mal abwarten wie es klappt mit den renewals ... müßten dann nicht auch die LE Scripts angepasst / erweitert werden, bzw. die CronJobs dazu?
Re: LE - Sechs-Tage-Zertifikate keine OCSP
Posted: Thu 6. Feb 2025, 17:41
by Jolinar
Ralph wrote: ↑Thu 6. Feb 2025, 17:37
müßten dann nicht auch die LE Scripts angepasst / erweitert werden, bzw. die CronJobs dazu?
Wenn die Skripte von einem intelligenten Programmierer stammen, dann eher nicht. Letztlich ist es ja nur eine Abfrage nach dem Ablauf des Certs, um eine Erneuerung anzustoßen...