Das LET’S-crypt-Projekt möchte die Unterstützung für Benachrichtigungen über ablaufende Zertifikate abschaffen. Dieses Standardverhalten endet am 4. Juni dieses Jahres. Das Projekt sendet solche E -Mails bis dahin, wenn die Erweiterung eines Zertifikats über einen bestimmten Zeitraum nicht funktioniert hat. Das Projekt hat jetzt Benutzer mit E -Mails informiert.
Werbung
In einer zugehörigen Nachricht auf der LET’S-Decrypt-Website schreiben die Autoren, dass immer mehr Abonnenten in den letzten zehn Jahren zuverlässige Automatisierung für die Erneuerung der Zertifikat verwendet haben. Um die Prozessbenachrichtigungen zu senden, müssen Sie Verschlüsseln Millionen von E -Mail -Adressen angeben, die mit den Verlageinträgen verknüpft sind. Die Privatsphäre ist für das Projekt wichtig, daher ist es wichtig, diese Anforderung für die Betreuer zu entfernen.
Wichtiger Grund: Kosten
Auf dem dritten Platz nennt das Projekt die Kosten, die das Senden der Nachrichten verursacht. Zehntausende Dollar pro Jahr wurden angebracht, die die Betreuer lieber „andere Aspekte der Infrastruktur“ einfügen konnten. Darüber hinaus erhöhen die Prozessbenachrichtigungen die Komplexität der Infrastruktur, die Zeit und Aufmerksamkeit ist und die Wahrscheinlichkeit von Fehlern erhöht. Langfristig muss das Projekt die Komplexität unter Kontrolle halten, insbesondere wenn es neue Servicekomponenten veröffentlicht und Komponenten herausgibt, die nicht mehr gerechtfertigt werden können.
Für diejenigen, die weiterhin Benachrichtigungen über ablaufende Zertifikate erhalten möchten, empfiehlt uns Encrypt-Dienste wie Red SIFT-Zertifikate Lite, die bis zu 250 Zertifikate kostenlos überwacht und gegebenenfalls Abflussbenachrichtigungen senden. Dies kann sinnvoll und empfohlen werden, wenn Zertifikate, die über längere Zeiträume ausgeführt werden, nicht hervorheben.
Zertifikate mit kurzfristig
Darüber hinaus möchten wir Encrypt in Kürze mit einer Sechszeit mit sechs Tagen Zertifikate anbieten. Der geplante Beginn eines internen Tests erfolgt im Februar, ab April ab April konnten experimentelle Kunden die kurzlebigen Zertifikate testen. In einer weiteren Benachrichtigung erklärt das Projekt, dass Zertifikate mit einer kurzer Laufzeit die Sicherheit erhöhen. Wenn der private Schlüssel in ein Zertifikat kompromittiert wird, kann die Empfehlung das Zertifikat abheben (Zertifikatrevoke). Das funktioniert jedoch nicht sehr gut. Dies bedeutet, dass in der Praxis Zertifikate mit gefährdeten privaten Schlüssel oder anderen Problemen bis zu ihrem tatsächlichen Prozess verwendet werden können. Je länger die Semester ist, desto länger problematische Zertifikate können verwendet werden.
Zertifikate mit kurzfristiger Reduzierung des gefährlichen Zeitfensters des Kompromisses, da sie schnell laufen. Der Minderjährige ist auch die Notwendigkeit des Zertifikatsausfalls, der historisch unzuverlässig war. Daher enthalten die sechstägigen Zertifikate kein OCSP (Online-Zertifikatstatusprotokoll) oder CRL-URLs (Zertifikat-Widerrufsliste). Auf der HAB-Seite gibt es eine neue Funktion: Die sechstägigen Zertifikate können für IP-Adressen ausgestellt werden.
In Episode 24 des Heise Security Podcast „Passwort“ befassen sich die Hosts mit den bevorstehenden Änderungen an Let’s Encrypta und Rätsel über mögliche Verwendungen für IP -Zertifikate. Das Ergebnis ist auf allen Podcast -Plattformen verfügbar.
(DMK)