On Sat, 3 Feb 2024 15:56:50 +0100, Marco Gaiarin
<
marc...@intoglimiwind.it> wrote:
> Mandi! Marco
>
> > Perché? Se il client conosce la CA che ha firmato il certificato, si
> > fiderà di essa anche tra 20 anni (sempre che il certificato non sia
> > scaduto, ovviamente).
>
> Appunto. Quando scade il certificato della CA, io perdo tutto in un
> colpo. E se il client è in giro, l'ho perso definitivamente.
Sì ma non è che la CA scade senza preavviso. I certificati sono pubblici
e puoi vedere tu stesso quando scade e decidere se distribuirlo o no.
Il problema che vedo è che anche se le root X1 e X2 di LE scadono avanti
(2035 e 2040 rispettivmente), i certificati di LE usano delle CA intermedie
che hanno scadenza ravvicinata (eg R3 o E1), quindi anche dandoli
staticamente ai client dopo quelle date non funzioneranno più.
Se hai già dato in giro quella chain a molti client, onestamente non so
come rimediare, se non aggiornando le configurazioni una a una (ma vedi
punto seguente).
> > Secondo me è un falso problema, comunque non si può [1].
>
> Bah. Ogni sistema operativo moderno ha un elenco certificati 'standard'
> interno che viene dato per buono by default, ed è gestito dall'OS.
> Che OpenVPN non sappia usarlo non mi pare un falso problema...
Ok, ammettiamo che OpenVPN sapesse usarlo: dovresti COMUNQUE andare client
per client a cambiare la configurazione per farglielo usare. Ma se devi
andare client per client a cambiargli la configurazione, tanto vale
approfittarne e mandargli una CA tua con scadenza lontana nel futuro, no?
> > Puoi ovviamente "embeddare" il certficato nella configurazione usando
> > <ca>...</ca> [2].
>
> Il problema non è distribuire la CA, il problema è distribuire una CA su
> cui non ho alcun controllo e che potrebbe potenzialmnete cambiare...
Non è che "potrebbe", alla scadenza SICURAMENTE cambierà (ogni altro
cambiamento o revoca a te non importa se i client hanno la loro copia della
chain).