[Talk-cz] Stav openstreetmap.cz v prohlížečích
Martin Hejna
martin na ttkd.cz
Úterý Leden 24 14:47:21 UTC 2017
On Tue, Jan 24, 2017 at 01:51:45PM +0100, honny wrote:
> Zdar,
>
> časem snad bude Let's Encrypt trusted všude, zatím to tak ale není.
> Lidem s FF50+ a na updatovaným debianu by to mohlo běhat i tak:
> https://www.root.cz/zpravicky/debian-pridal-let-s-encrypt-mezi-duveryhodne-autority/
>
Nikoliv.
Mezilehly certifikat je potreba v obou pripadech.
Let's encrypt ma dva mezilehle certifikaty (backup a retired certifikaty nepocitam)
https://letsencrypt.org/certs/letsencryptauthorityx3.pem
Podepsany Let's Encrypt (spravne se organizace jmenuje ISRG).
Tomu veri FF50+ a podobne progresivni browsery
https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem
Podepsany autoritou IdenTrust.
Tomu veri prakticky kazdy browser
Oba mezilehle certifikaty maji stejne RSA klice, tedy cokoliv podepsane jednim
z nich je zaroven podepsane i tim druhym.
V kazdem pripade je potreba nejaky mezilehly certifikat pouzit.
Certifikat pro HTTPS server neni podepsan autoritou primo, ale prave
prostrednictvim mezilehleho certifikatu. Je to hlavne z bezpecnostnich duvodu.
Klic korenoveho certifikatu je bezne ulozen nekde offline.
Program certbot standardne vytvori soubor fullchain.pem, ktery obsahuje
HTTPS certifikat prave s cross-signed mezilehnlym certifikatem.
Martin Hejna
Další informace o konferenci talk-cz