administrators

@laaen řekl v Integrating HTTPS & Modern App Tools - Experiences & Tips?:

Hi everyone,
Since this forum focuses a lot on HTTPS, certificates, and secure infrastructure, I wanted to start a small discussion around how security fits into today’s multi-platform applications.
Let’s Encrypt has made SSL/TLS easy and accessible, and most of us now use HTTPS by default for websites and APIs. But these days, many projects are no longer just websites, they include mobile apps, desktop apps, and web dashboards all talking to the same backend.
In my recent projects, I’ve noticed that when teams use cross platform app development services, the backend security setup becomes even more important. One API might serve Android, iOS, and web clients at the same time, so proper certificate management, renewal automation, and HTTPS enforcement really matter.
I’m curious to hear from the community:
How do you usually configure Let’s Encrypt for APIs used by mobile or desktop apps?
Any tips for handling certificate renewal without breaking app communication?
Do you use reverse proxies (Nginx, Caddy, Traefik) with Let’s Encrypt for multi-platform projects?
What mistakes should developers avoid when securing cross-platform applications?
Would love to learn from your experiences and setups. Thanks in advance for sharing your insights!

Your post reads a bit like promo bait, but here’s a practical take.

For multi-platform clients, the main security factor is keeping client software up to date - browsers or apps. Outdated clients are the real risk, not the certificates themselves.

Let’s Encrypt certificate renewal isn’t an issue - certs can be renewed while the old one is still valid. If your server is properly set up - using a load balancer that reloads certs without dropping connections, or an ingress controller in Kubernetes doing a rollout restart - certificate replacement won’t cause downtime.

With a solid setup, certificate rotation is essentially invisible to clients.

Opravdu dlouho jsem nepřinesl žádné novinky o Let’s Encrypt a za toto nehorázné zanedbávání tohoto webu/fóra se velice omlouvám. Proto Vám přináším souhrn všech ověřených změn a oznámení za poslední dobu:

Byla zavedena opatření proti takzvaným zombie klientům, tedy klientům, kteří opakovaně neúspěšně žádají o certifikáty bez dokončení ověření domény. Ruční uplatňování prvních omezení začalo v září 2024 a automatizované pauzování problematických registrací bylo nasazeno od prosince 2024. Cílem je snížení zbytečné zátěže infrastruktury a zvýšení stability služby.

Došlo také k oznámení ukončení podpory protokolu OCSP, které bylo zveřejněno 5. prosince 2024. Od 30. ledna 2025 přestala fungovat OCSP Must-Staple potvrzení, od 7. května 2025 byly z nově vydávaných certifikátů odstraněny OCSP URL a 6. srpna 2025 byly vypnuty OCSP respondéry, čímž byla služba OCSP definitivně ukončena. Ověřování stavu zneplatnění certifikátů se nadále opírá o CRL seznamy.

Let’s Encrypt ukončil zasílání e-mailových upozornění na blížící se expiraci certifikátů 4. června 2025. Současně byly z produkčních systémů odstraněny e-mailové adresy spojené s ACME účty. Důvodem byla převaha automatizovaných obnov, náklady na provoz a otázky ochrany soukromí.

Plán postupného zkracování platnosti SSL/TLS certifikátů byl zveřejněn 2. prosince 2025. Certifikáty budou zkráceny nejprve na 64 dnů od 10. února 2027 a následně na 45 dnů od 16. února 2028. Možnost dobrovolně přejít na 45denní certifikáty bude dostupná od 13. května 2026. Se zkracováním platnosti souvisí i omezení doby, po kterou lze znovu použít ověření vlastnictví domény – postupně se má zkrátit z původních 30 dnů až na 7 hodin. Hlavním důsledkem je nutnost plně funkční automatizace obnov certifikátů.

Let’s Encrypt zároveň vytvořil novou hierarchii kořenových a prostředních certifikačních autorit označovanou jako Generation Y. Podpora této hierarchie pro běžné serverové certifikáty a krátkodobé profily byla zpřístupněna 7. ledna 2026. V oblasti vydávacích řetězců certifikátů tak byla nová intermediární infrastruktura spojená s Generation Y uvedena do běžného provozu tímto datem a pokračuje odklon od starších řetězců a historických kompatibilitních prvků.

Nové intermediární certifikáty v základním profilu neobsahují rozšíření pro TLS klientskou autentizaci (Client Authentication EKU) od 11. února 2026. Alternativní profil s podporou klientské autentizace bude k dispozici pouze do 13. května 2026, poté bude tato možnost zcela odstraněna.

Celkově tedy od mého posledního příspěvku, který jsem posílal 15. března 2024 došlo k významným změnám v oblasti platnosti certifikátů, certifikačních řetězců, bezpečnostních mechanismů (OCSP → CRL) a podpoře klientské autentizace, které ovlivní způsob, jakým Let’s Encrypt certifikáty fungují a jakým je potřeba je spravovat.

Certificate Transparency log hraje důležitou roli ve Web PKI, zlepšuje možnosti monitoringu vydávání LE certifikátů. Projekt LE od 2019 používá Oak CT log, který ale po čase začal trpět výkonnostními problémy, kvůli použité relační DB. Sunlight oproti tomu používá objektovou DB, která, díky lepší škálovatelnosti a možnosti komprimace, bude tyto neduhy řešit. Vývoj projektu lze sledovat na GitHubu, samotné CT logy už také fungují v testovacím i produkčním režimu. Podrobnější informace naleznete na webu Let's Encrypt.

Dne 27. února vydala CA Let's Encrypt svůj miliardtý certifikát. K tomuto datu používá LE certifikáty už 192 miliónů webů. O dalším bilancování se dočtete v tomto článku od Joshe Aase a Sarah Gran: https://letsencrypt.org/2020/02/27/one-billion-certs.html

Začátkem tohoto týdne byla vydána verze 1.0 populárního ACME klienta Certbot od Electronic Frontier Foundation (EFF), čímž projekt překonává důležitý milník, protože opouští svoji vývojovou beta fázi. Certbot je nástroj pro automatizaci práce s certifikační autoritou Let's Encrypt (s kterou komunikuje pomocí ACME protokolu), dříve známý jednoduše jako letsencrypt, nebo letsencrypt-auto. Certbot vznikl v roce 2015 (v dubnu 2016 byla pak oficiálně spuštěna LE CA), jako oficiální klient pro LE.

Více informací naleznete na webu EFF: https://www.eff.org/deeplinks/2019/12/certbot-leaves-beta-release-10

Už od konce července 2018 je kořenový Let’s Encrypt certifikát (ISRG Root X1) přímo důvěryhodný pro produkty Microsoftu (tzn. byl zařazen mezi "Trusted Root Certification Authorities"). Tímto je důvěryhodný již ze strany všech významných IT korporací jako je Google, Apple, Mozilla, Oracle, Blackberry a již zmíněný Microsoft.

Komunitní fórum letsencrypt.cz (dále jen "fórum") není spjato s žádnou společností, či korporací, která by zastřešovala její provoz. Toto fórum je projekt provozovaný soukromou (fyzickou) osobou (dále jen "provozovatel") a není primárně provozováno, za účelem výdělku, ale jen jako podpůrná komunikační komunikační platforma, respektive Q&A server, pro české a slovenské uživatele služeb certifikační autority Let's Encrypt (letsencrypt.org). Přesto tímto způsobem apeluji na uživatele tohoto fóra, aby do svých uživatelských profilů na tomto fóru, nezadávali žádné informace osobní povahy, které by je jednoznačně identifikovaly (tzn. především jméno, příjmení, rodné číslo, číslo OP, pasu, nebo jiného dokladu, emailovou adresu obsahující některý z těchto předchozích údajů, IP adresu, atp.). Pokud takto učiníte, berete na sebe veškerá rizika s tím spojená a tímto jednáním dáváte svůj výslovný souhlas k tomu, aby tyto údaje na tomto webu byly dostupné veřejně a v čitelné neanonymizované podobě. Zároveň se tímto zavazujete k tomu, že provozovatele tohoto fóra budete kontaktovat emailem na adrese patok@vypnuto.net v případě, že byste chtěli zažádat o vymazání svého účtu a všech údajů s ním spojených, z tohoto serveru a to pouze v případě, že by se vám nedařilo tento účet smazat svépomocí (např. kvůli programové chybě, nebo jiné překážce). Provozovatel se zavazuje k tomu, že žádné z neveřejně přístupných údajů, neposkytne třetím stranám s výjimkou případného použití pro personalizovanou reklamu, kde se dále zpracování těchto dat řídí pravidly provozovatele těchto reklamních služeb. Uživatel používáním tohoto fóra (čímž se myslí čtení, přidávání, mazání a editace příspěvků a témat, zakládání účtů, editace profilové stránky, posílání soukromých zpráv a používání chatu) výslovně souhlasí s těmito pravidly. Pokud uživatel s těmito pravidly nesouhlasí, není oprávněn toto fórum používat a to jakýmkoliv způsobem.

Provozovatel si vyhrazuje právo na jakoukoliv pozdější změnu tohoto textu, který bude zachováván v aktuální podobě výhradně na stránce https://letsencrypt.cz/privacy/.

Pod stromeček jsem se rozhodl tomuto fóru a všem, co ho v budoucnosti budou chtít používat, nadělit sociální přihlašování (zatím přes Facebook a Twitter, časem přibude možná ještě Gooogle+). Možnost vytvoření klasického účtu samozřejmě zůstává.

Tak šťastné a veselé!

Pro ty kdo ještě nevědí - 27. února 2018 by měla začít veřejná certifikační autorita Let's Encrypt poskytovat wildcard certifikáty (tzn. certifikáty umožňující používat jeden certifikát pro všechny subdomény bez opětovné obnovování certifikátu; např. *.letsencrypt.cz) a to opět, jako doposud, zdarma. Dít se tak bude v rámci nového ACME v2 protokolu, který bude k dispozici už od 4. ledna 2018 v beta verzi (wildcard certifikát byste teoreticky mohli začít používat již od tohoto dne).
Další plánovanou novinkou má, později v roce 2018, být nasazení efektivnějších root a intermediate ECDSA certifikátů, které umožní vytvářet také koncové ECDSA certifikáty. Efektivita ECDSA (Elliptic Curve Digital Signature Algorithm) spočívá v délce použitého veřejného klíče, který v případě ECDSA agoritmu může být kratší (160 bitů), než tomu je u DSA/RSA (alespoň 1024 bitů), přičemž by teoreticky měla být zachována stejná míra zabezpečení.