On Tue, Jan 24, 2017 at 01:51:45PM +0100, honny wrote: > Zdar, > > časem snad bude Let's Encrypt trusted všude, zatím to tak ale není. > Lidem s FF50+ a na updatovaným debianu by to mohlo běhat i tak: > https://www.root.cz/zpravicky/debian-pridal-let-s-encrypt-mezi-duveryhodne-autority/ >
Nikoliv. Mezilehly certifikat je potreba v obou pripadech. Let's encrypt ma dva mezilehle certifikaty (backup a retired certifikaty nepocitam) https://letsencrypt.org/certs/letsencryptauthorityx3.pem Podepsany Let's Encrypt (spravne se organizace jmenuje ISRG). Tomu veri FF50+ a podobne progresivni browsery https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem Podepsany autoritou IdenTrust. Tomu veri prakticky kazdy browser Oba mezilehle certifikaty maji stejne RSA klice, tedy cokoliv podepsane jednim z nich je zaroven podepsane i tim druhym. V kazdem pripade je potreba nejaky mezilehly certifikat pouzit. Certifikat pro HTTPS server neni podepsan autoritou primo, ale prave prostrednictvim mezilehleho certifikatu. Je to hlavne z bezpecnostnich duvodu. Klic korenoveho certifikatu je bezne ulozen nekde offline. Program certbot standardne vytvori soubor fullchain.pem, ktery obsahuje HTTPS certifikat prave s cross-signed mezilehnlym certifikatem. Martin Hejna _______________________________________________ Talk-cz mailing list [email protected] https://lists.openstreetmap.org/listinfo/talk-cz
