Let's Encrypt bắt đầu cung cấp rộng rãi chứng chỉ 6 ngày và chứng chỉ cho địa chỉ IP

Ý kiến trên Hacker News

• Tính đến hôm nay, vẫn chưa thể nhận chứng chỉ địa chỉ IP bằng certbot
  Thay vào đó tôi dùng lego, nhưng đã mất khá nhiều thời gian để tìm đúng câu lệnh
  Câu lệnh tôi dùng thành công hôm qua là
  lego --domains 206.189.27.68 --accept-tos --http --disable-cn run --profile shortlived

  • Tôi cũng tự hỏi liệu Caddy đã hỗ trợ tính năng này chưa
    Có vẻ vẫn đang được triển khai (GitHub issue)

• Chứng chỉ địa chỉ IP là một chủ đề đặc biệt thú vị khi người dùng iOS tự vận hành máy chủ DoH
  Trên iOS, nó chỉ hoạt động khi có chứng chỉ hợp lệ cho cả FQDN lẫn IP
  Vì thế các profile của những dịch vụ lớn như dns4eu hay nextdns thì hoạt động tốt, còn máy chủ DoH tự dựng của cá nhân thì thất bại

  • OpenSSL yêu cầu rất chặt rằng trường SAN của chứng chỉ phải chứa địa chỉ IP khi thiết lập kết nối TLS
    Có lẽ đây không phải thứ do kỹ sư iOS thêm vào một cách tường minh, mà là tác dụng phụ của thư viện mật mã đang được dùng
  • Tôi dùng tên miền cá nhân với DoH phía sau reverse proxy mỗi ngày và không gặp vấn đề gì

• Tôi thắc mắc vì sao lại là chứng chỉ 6 ngày
  8 ngày sẽ thuận tiện hơn cho việc gia hạn theo tuần, và tôi còn nghĩ 8 là lũy thừa của 2 cũng như là một con số may mắn
  Nhưng 6 thì đơn giản là không thấy hợp

  • Chu kỳ 6 ngày giúp phân bổ tải đều vào các ngày trong tuần về lâu dài
    Nếu là 8 ngày thì lưu lượng có thể dồn vào một vài thứ trong tuần nhất định
  • Thực ra không phải 6 ngày mà là khoảng 160 giờ (6,6 ngày)
    160 là tổng của 11 số nguyên tố đầu tiên, đồng thời cũng là tổng lập phương của 3 số nguyên tố đầu tiên
  • 6 ngày cũng mang tính biểu tượng vì Chúa làm việc 6 ngày và nghỉ ngày thứ 7
  • 6 là số hoàn hảo (perfect number) nhỏ nhất, nên là biểu tượng của sự hoàn hảo

• Tôi hy vọng bước tiếp theo sẽ là tập trung vào việc cấp chứng chỉ cho địa chỉ .onion
  .onion vốn đã có sẵn cặp khóa nên việc chứng minh quyền sở hữu còn đáng tin hơn DNS

  • Một số tài liệu chuẩn và trang liên quan
    • RFC 9799
    • acmeforonions.org
    • Tài liệu nghiên cứu của Tor Project
  • Tuy vậy, bản thân Tor đã cung cấp mã hóa và xác thực danh tính, nên tôi nghĩ HTTPS không hẳn là bắt buộc

• Nếu muốn chứng chỉ IP thì certbot vẫn chưa hỗ trợ
  Đã có PR liên quan được mở (#10495)
  Còn acme.sh thì có vẻ đã hỗ trợ rồi

  • Các ACME client hiện hỗ trợ địa chỉ IP gồm acme.sh, lego, traefik, acmez, caddy, cert-manager
    Hy vọng certbot cũng sẽ sớm hỗ trợ

• Tôi đang thử nghiệm với chu kỳ gia hạn 2 tuần, nhưng giờ chứng chỉ lại được cấp dưới dạng 6 ngày, nên khá bối rối
  Nếu pipeline bị lỗi thì thời gian để debug là quá ngắn
  Thật khó chấp nhận lập luận rằng IP có mức độ biến động cao hơn tên miền
  IP tĩnh của VPS không thay đổi thường xuyên đến vậy

  • Nhưng ở những nơi như AWS thì có thể giải phóng Elastic IP ngay lập tức
    Nếu bạn nhận một chứng chỉ 45 ngày rồi trả lại IP đó ngay, người dùng khác có thể được cấp IP ấy
    Khi đó bạn sẽ nắm giữ một chứng chỉ hợp lệ cho IP của người khác, nên khá nguy hiểm
  • Trong môi trường cloud, IP được tái phân bổ rất nhanh nên tôi còn thấy 6 ngày là khá dài
  • Thời hạn chứng chỉ quá ngắn không phù hợp với cách vận hành thực tế
    Chính sách như vậy có vẻ là cách tiếp cận chưa hiểu rõ công việc ngoài hiện trường
  • Vấn đề nằm ở quyền kiểm soát sở hữu của IP
    Phần lớn nhà vận hành dịch vụ không trực tiếp kiểm soát chính IP đó, nên đây là biện pháp để giảm rủi ro cho CA
  • Nếu không gắn EIP cho instance EC2 thì gần như mỗi lần khởi động lại sẽ nhận IP khác
    Khó bị lạm dụng, nhưng vẫn là một điểm cần cân nhắc về bảo mật

• Tôi tự hỏi liệu sự xuất hiện của chứng chỉ IP có thể khiến IPsec transport mode được chú ý trở lại không
  RFC 5660 do tôi viết cũng có liên quan

  • Nhưng trên thực tế thì SDN hoặc site-to-site VPN đã được triển khai đủ rộng rồi
    Việc bắt IPsec tunnel dùng chứng chỉ vẫn rất phiền phức
    Một số thiết bị firewall thậm chí còn có bug lạ khiến việc xác thực thất bại nếu chain chứng chỉ quá dài
  • Tiêu chuẩn IPSec quá đồ sộ và phức tạp, đến mức ngay cả các công ty tạo ra nó cũng liên tục dính CVE suốt hàng chục năm

• Vì chứng chỉ IP chỉ áp dụng được cho các địa chỉ có thể truy cập từ Internet, nên TLS cho thiết bị LAN vẫn còn khó

  • Dùng IPv6 thì vẫn làm được mà không cần lộ ra ngoài Internet
    Chỉ cần nhận lưu lượng bằng DNAT ở edge, chuyển tiếp đến VM dùng để gia hạn chứng chỉ, rồi phân phối lại cho thiết bị nội bộ
  • Tôi đang dùng wildcard certificate (*.home.example.com) cho mạng gia đình
    Cần một DNS công khai cho phép thiết lập bản ghi TXT qua API, nhưng plugin DNS của lego hỗ trợ khá nhiều nhà cung cấp
  • Trong trường hợp này, dùng CA riêng cũng là một lựa chọn
  • Với địa chỉ mạng nội bộ thì không thể chứng minh quyền sở hữu từ bên ngoài, nên tôi nghĩ cứ dùng tên miền sẽ hợp lý hơn

• Tôi thực sự rất vui với thông báo lần này
  Chứng chỉ IP giải quyết được bài toán bootstrap ban đầu của phần mềm self-hosted
  Ví dụ như có thể không còn cần đến tính năng instant subdomains của TakingNames nữa

• Chứng chỉ địa chỉ IP rất hữu ích khi dịch vụ tồn tại ngắn hạn (ephemeral service) cần giao tiếp bằng TLS
  Không phải tạo riêng bản ghi DNS nên rất tiện khi cần dựng hàng trăm instance tạm thời

  • Nó cũng có thể dùng cho Encrypted Client Hello (ECH)
    Nếu dùng chứng chỉ IP thay cho SNI lộ ở dạng văn bản thuần, bên ngoài sẽ không nhìn thấy hostname thực tế
    Nhờ đó ngay cả các trang nhỏ không chạy trên cloud lớn cũng có thể dùng ECH mà không cần proxy
  • Thông báo chính thức của Let's Encrypt có tổng hợp nhiều trường hợp sử dụng khác nhau
  • Điểm hấp dẫn là không phụ thuộc vào nhà đăng ký tên miền
    Mức ẩn danh cũng cao hơn
  • Với các dịch vụ không hướng đến con người, việc loại bỏ phụ thuộc vào nameserver đặc biệt hữu ích
  • Cũng có thể áp dụng cho các giao thức như DNS over TLS hoặc DNS over HTTPS