Webové stránky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a vládního CERT byly v úterý nedostupné. Vypršel jim totiž certifikát pro HTTPS. Podle zprávy na oficiálním Twitteru organizace šlo o chybu "dnes již bývalého zaměstnance". Alespoň že se nejednalo o tradiční "stážistku". I tak má ale NÚKIB z ostudy kabát.

Tento článek patří do placené sekce.

Pro vás jej odemknul někdo, kdo má předplatné.


Pokud budete předplatitelem, budete moci stejným způsobem odemykat placené články i pro své přátele.
A získáte i řadu dalších výhod.

Jedná se ve své podstatě o prkotinu - kdo z ajťáků nikdy nezapomněl prodloužit certifikát (nebo platnost domény), ať hodí kamenem. Autor tohoto článku rozhodně házet nebude; jednak to při počtu jeho dioptrií není úplně vhodné, jednak se zmiňovaných prohřešků (opakovaně) dopustil. Ovšem když si poněkud upravíme staré latinské rčení "quod licet Iovi, non licet bovi": Co je dovoleno prostému valachovi, nevypadá úplně dobře u státního orgánu specializovaného na kybernetickou bezpečnost. 

Související

Historicky se certifikáty pro webové servery kupovaly u komerčních certifikačních autorit. Získání certifikátu byl manuální proces: správce serveru musel vygenerovat žádost, zadat ji do administračního rozhraní certifikační autority, potvrdit (obvykle e-mailem) její oprávněnost, zaplatit příslušný poplatek, stáhnout vydaný certifikát a nainstalovat jej na server. Celou tuto kratochvíli bylo nutné opakovat jednou za jeden až tři roky, což je přesně ten správný interval na to, aby se na to zapomnělo, zejména pokud se zodpovědný zaměstnanec stal zaměstnancem bývalým. 

Proč o tomto postupu mluvím v minulém čase? Protože již několik let existuje bezplatná automatizovaná certifikační autorita Let's Encrypt. Klíčové slovo je zde to "automatizovaná", neboť její největší výhodou oproti "tradičním" certifikačním autoritám je, že celý proces vydání certifikátů a ověřování vlastnictví domény je automatizovaný. Tomu odpovídá též doba platnosti certifikátu, která je nejvýše tři měsíce.  

Kratší doba platnosti je jevem pozitivním. V první řadě (spolu s absencí ručního rozhraní pro správu) vede k automatizaci celého procesu a působí, že se na vydání následného certifikátu nezapomene, protože celý proces řídí počítač, který nezapomíná. Pro UNIX-like systémy je k dispozici Certbot, vyvíjený Electronic Frontier Foundation. Pro Windows a IIS například AutoACME (full disclosure: autor tohoto článku je zakladatelem tohoto projektu; existují samozřejmě i jiné možnosti). Tato řešení jsou plně automatizovaná. Stačí je nastavit jednou a pak se veškeré obnovování certifikátů děje samočinně.

Kromě toho dochází k častějšímu ověřování, že je doména stále pod kontrolou žadatele. U klasického certifikátu, který platí rok nebo déle, je vyšší pravděpodobnost, že se například změní vlastník domény. Toho si je vědomo i CA/Browser Forum, tedy autorita, která stanoví pravidla pro certifikační autority. Kdysi dávno byla maximální doba platnosti certifikátů pro web servery pět let, nyní byla zkrácena na 27 měsíců. 

Pro běžné veřejné web servery není dnes důvod používat jiné certifikační autority než Let's Encrypt a jiný postup než plně automatizovaný. Komerční certifikační autority a jejich distributoři se sem tam snaží šířit paniku a dojem, že placené certifikáty jsou jaksi "lepší" než ty zdarma, ale nemají ani pravdu, ani velký úspěch. Čekají je hubená léta, neboť jejich certifikáty dávají smysl pouze ve speciálních případech, ne u běžných web serverů. Význam mají možná u starších newebových serverů, kde se s automatizací výměny certifikátu nepočítá: typicky poštovní servery, FTPS servery a další podobná zařízení, kde by nasazení Let's Encrypt bylo buďto nemožné, nebo minimálně náročné a nepraktické. Tam nezbývá než použít déle platné certifikáty a do kalendáře si poznačit konec jejich platnosti.  

NÚKIB se k použití Let's Encrypt dosud neodhodlal, používá nadále certifikáty vydané projektem GÉANT (CA TERENA). Jestli si je zaměstnanci poznačili do kalendáře, se dozvíme nejpozději 25. října 2021, kdy vyprší platnost těch současných.

Související

Líbil se vám článek? Chcete víc takových článků?

Kupte si předplatné a můžete si je číst všechny. Navíc bez reklam a s možností sdílet přátelům.

Vyzkoušejte předplatné HN+
Newsletter

Týden s technologiemi Otakara Schöna

Události posledního týdne ve světě technologií podle Otakara Schöna

Editor rubriky Tech Otakar Schön pro Vás vybírá nejzajímavější nebo nejzásadnější události ze světa technologií, které se odehrály v uplynulém týdnu. Každý pátek v podvečer najdete ve své mailové schránce.

Přihlášením se k odběru newsletteru souhlasíte se zpracováním osobních údajů a zasíláním obchodních sdělení, více informací ZDE. Z odběru se můžete kdykoli odhlásit.

Přihlásit se k odběru