[00:00:00] Sofia: Folk är så här, men finns det några andra motiv bakom det här? Är det verkligen säkerhet eller är det för att många av dem som ingår i det här CA Browser Forum har egen intresse för att utfärda certifikaten?

Följa med oss, Sofia och Madde, på allt inom mjukvaruutveckling.

[00:00:27] Madde: Vi träffar spännande gäster, testar nya teknologier, söker inspiration och tar upp aktuella ämnen. Vi har en liten rant igen. Jag känner mig lite dum nu, alltså jag är ju inte en negativ person egentligen, jag ska ändå tycka jag rätt positiv så kommer jag här och ska ranta två avsnitt i rad.

[00:00:48] Sofia: Men ingen vill höra om hur bra ditt liv går, eller hur?

[00:00:54] Madde: Som ni kanske hör så är jag ju sjuk igen, så det är inte så att det är toppen, men livet med förskolebabys, skitsamma det är inte det jag ska ranta om, jag ska ranta om one time passwords. Jaha, okej. Alltså appen

[00:01:09] Sofia: som heter, är det appen? One Time Password eller?

[00:01:14] Madde: Nej nej nej, One Time Password. Alltså du ska logga in någonstans och så istället för att du ska skriva in ditt lösenord så säger de. Så får du ett mail. Nu kan du få ett mail och så ska du skriva in den här koden. Och man bara nej jag vill skriva in mitt lösenord som jag har i då. One Password heter det väl.

Ja det är så

[00:01:33] Sofia: förvirrande.

[00:01:34] Madde: Ja, exakt. Som jag har i OnePassword eller BitLocker eller vad man nu tänker spara sin lösning någonstans Jag har ett supersäkert lösnord med 711-tecken, bokstäver, allt möjligt. Det är inte Madeleine91 som du

[00:01:51] Sofia: överallt?

[00:01:52] Madde: Nej. Och jag har inga sammanlösnord någonstans. Men ändå vill de att jag ska sitta och vänta på det här mejlet istället för att bara instantly få använda mitt lösenord.

[00:02:01] Sofia: Och

[00:02:02] Madde: det provocerar mig något fruktansvärt. För att oftast tar det typ såhär kanske 20 sekunder innan mejlet dyker upp. Och ibland

[00:02:08] Sofia: typ fastnar det verkligen. Ja

[00:02:10] Madde: och ibland måste man ju rena. Alltså det är

[00:02:12] Sofia: Ja, verkligen irriterande

[00:02:13] Madde: Och har man gjort det

[00:02:13] Sofia: två gånger och så får man det första och så säger de att den koden är fel.

Ja, nu måste du få en ny kod Ska man ha en 3D-kod?

[00:02:21] Madde: Nej, egentligen så är jag väl också lite sur på alla de här mifforna som har hulken123 som password och liksom förstör för oss andra människor som faktiskt gör rätt för oss. Jag har faktiskt börjat använda passkeys på vissa ställen i alla fall. Det är riktigt nice för då slipper man ju ofta också...

Two-factor authorizations, det är ett. Men

[00:02:41] Sofia: det är också ett problem just det här om du byter enhet. Alltså jag har svårt för den tekniken är fantastisk och jag förstår mailgrejen också. Det funkar faktiskt ganska bra. Du vet om du använder samma dator jag har haft det på någon så här vad är det, någon så här Kurs som jag har köpt jag tror det var någon React-kurs jag köpte för länge sedan och då höll den typ dig inloggad i alltså ganska länge, och då var det lugnt såhär okej men var trettionde dag kan jag väl göra det här men ja, alltså anledningen är ju att du är en på typ en miljon som använder en password manager ja det är väl det Det är sjukt, jag blir faktiskt förvånad att det är så många personer som jobbar med det här, som inte använder det, som verkligen har sina Madeleine 1-2-3 och sen vet jag att, nu har jag hört det från en kollega, att det han gör är att om han har haft Madeleine 1-2-3 och sen kommer den här grejen som säger att du måste byta lösnord, då lägger han bara på en ny siffra i sekvensen eller någonting.

vet inte

[00:03:54] Madde: Särskilt på typ AD-lösnord alltså där det är forsa så att du ska byta var sjätte månad eller någonting

[00:04:00] Sofia: ja nej det har jag faktiskt undrat över just det lösnordet du har på din alltså din dator Typ jag tyckte du sa det lilla

[00:04:11] Madde: snoret jag bara va, sen kopplade jag mig igen att sa det lösenordet jag bara tänkte så fick jag snor i all jag är

[00:04:20] Sofia: också täppt som man kanske hör nej det är lösenordet som du har till din dator alltså det kan ju inte vara ett sånt liksom 7011 tecken och sånt det måste nog inte vara ganska enkelt ja Jag

[00:04:38] Madde: ska inte säga att det enkelt fortfarande det är fortfarande stora små bokstäver specialtecken och siffror men det är ju inte lika långt absolut

[00:04:46] Sofia: det är inte lika mycket gibberish

[00:04:49] Madde: heller

[00:04:49] Sofia: det

[00:04:50] Madde: är lite mer läsbara

[00:04:52] Sofia: det är ändå så att jag har typ såhär Vad heter det, det är olika stora bokstäver men varje bokstav står ju för någonting som är helt omöjligt listat ut och sen avslutas det med siffror och de siffrorna är på något sätt ändå signifikanta för mig så jag byter ut dem för annars hade det varit omöjligt att hålla på

[00:05:15] Madde: Ja, det var min lilla rant i alla fall Det stör mig att jag behöver sitta och vänta på mejlen och pejsta in det.

På telefonen är det ganska nice i alla fall för då dyker det ju upp typ såhär, alltså om du använder iPhone-mejlen så dyker det ju upp precis som det gör med sms men annars nej usch

[00:05:30] Sofia: sluta med

[00:05:31] Madde: det.

[00:05:32] Sofia: Ja, mitt hat är nog Schibsteds inloggningar. De är nog värst tycker jag.

[00:05:39] Madde: Där loggar jag nog bara in om jag ska in på blocket.

Det är nog det enda. Och det kommer jag ihåg att det har varit störigt. Men påminn mig, vad är det som är störigt?

[00:05:46] Sofia: Jag tror att det är någonting att de äger flera sidor nu. Och att helt plötsligt så går man... Jag kommer inte ens ihåg vilka det är. Men att jag har gått in på någon och så är det plötsligt bara...

Nu tillhör det här Schibsteds. Du måste ha ett Schibsteds-konto så är det inte längre... De förra credentialsarna du hade helt, ja, jag vet inte. Och så har de just så här, skicka mail skriva in en kod Ja, ja. Låt oss tacka våra fina stjärnsupporters på Patreon.

[00:06:17] Madde: Ja, de implementerar säkert inte sådana här lösningar.

Ja, stort tack till Alicia, Anders Nylund, Björn Jonsson, Dag Rönnell, Först behövde Hest Kaffe, Kajetan Kazimierczak, Lars Nyström, Molly Haagen, Molly Haglund Nu blev det helt fel där Molly Haagen och Molly Haglund jag tänker inte klippa, du får säga om det här Martin Haagen jag ber om ursäkt för det här och Molly Haglund väldigt lik den då gick på bara automatik och Oskari, Per Nåtby, Selim Hjorthall och Tomas Nilsson

[00:06:56] Sofia: Tack till er och tack till alla andra som stöttar oss på Patreon och en stort tack för alla mejl i den här bokutlottningen vi hade, alltså det var så många som hade skrivit så fina saker och det var nästan så att man ville dra den som hade skrivit det bästa men vi snurrade faktiskt ett lyckohjul ändå.

Jag

[00:07:18] Madde: faktiskt älskar också att det verkligen var sånt lyckohjul men det är lite det vi gör så Mm

[00:07:24] Sofia: Ja, vad ska vi snacka om idag? Ja, vi pratade ju om DNS i förra avsnittet och det var ju... Det var ju ett riktigt sexigt ämne Vi hörde att du tyckte det. Vi ska prata om en liknande cornerstone när det gäller internet idag.

Men det var ju inte folk som uppskattade det specifika ämnen. Man behöver påminnas om det. Jag behöver definitivt göra det. Men vi ska prata om SSL och TLS-certifikat. Yay! Varför då?

[00:08:02] Madde: Varför ska vi göra det? Det är bra att kunna, absolut. Men anledningen till att det är lite extra relevant just nu är för att det finns något som heter CA Browser Forum.

CA står för Certification Authority. Det är de som utfärdar certifikat. Och Browser Forum är en samling av olika... Ja, intressenter som jobbar med standarder och så kring certifikat.

[00:08:29] Sofia: Men nu sa du, CEA står ju för... Är det här någonting du kände till innan? Ja, det gjorde jag faktiskt.

[00:08:38] Madde: Om

[00:08:38] Sofia: Certification

[00:08:39] Madde: Authority Browser Forum?

Nej, jag kände inte till att det fanns ett forum. Men jag kände till att CEA... Stå för Certification Authority. Men sen visste jag inte att det fanns CA Browser Forum. Något slags råd. Ja, är precis vad det är. Ett litet råd som beslutar om saker. Nu har de suttit på sin kammare och fattat ett beslut. Och det är att man radikalt faktiskt ska pinska certifikatens livslängd.

Från ett år, som certifikatet gillar jag nu, till 47 dagar. Shit. Det är en ganska stor minskning. Ja, och vi ska gå in på vad det mer konkret innebär, för man kommer inte göra det här om natt, det kommer vara liksom över tid. Men, och prata lite också om vilka fördelar som finns, varför de har valt att göra det, men också vilken kritik det finns mot den här ändringen.

[00:09:28] Sofia: Mm.

[00:09:30] Madde: Och ja, jag är väl inte så jätteerfaren av just certifikathantering på det sättet. Jag vet, ofta när man spinner upp på Netlify eller på GitHub Pages och sånt så brukar det ju provisioneras upp ett certifikat automatiskt Jag tror det är typ med Let's Encrypt eller någonting som det brukar vara Det är ju gratis.

Men... Jag vet på ett gammalt kunduppdrag jag var på så var vi tvungna att manuellt gå in och ladda upp ett certifikat i Azure och installera det. Så man blev pingad av IT en gång om året och bara nu är det dags att förnya certet i

[00:10:04] Sofia: bästa fall. Ja centralt som satt och utfärdade dem liksom.

[00:10:11] Madde: Precis och i bästa fall fick vi liksom komma ihåg det själva att oj allra värsta var det om det handlade upp ut och man bara ups här skulle vi ha förnyat

[00:10:20] Sofia: detta men ja.

Ja men för mig, det kanske är samma kund vi fick ju bara såhär mail från Azure att man märkte där att det typ löpte ut. Ja. Men ja nej det är ingenting som jag har suttit och administrerat heller, men man behöver ju veta vad det är. Man vill verkligen inte göra den i när man ska göra den var 47 dag. Ja, men vi kan ändå ta det från början då.

Vad är ett SSL till SS-certifikat då? Det används för att säkra kommunikationen mellan webbläsaren, klienten och en webbserver. Just TLS står för Transport Layer Security. Och det här är den moderna och säkrare versionen av SSL som står för Secure Socket Slayer. Men folk säger ändå ofta SSL-certifikat av gammal vana.

Ja jag gör det

[00:11:16] Madde: själv. Ja. Säger aldrig typ till SSL-certifikat men ja.

[00:11:20] Sofia: Nej, det ser i alla fall till att trafiken är krypterad. Men det handlar liksom inte bara om krypteringen här. Det är ju mer för att skydda användaren. Alltså att man visar att Jag är den jag säger när jag har en hemsida. Så att du bygger upp någon slags förtroende på internet.

Så att det är för att säkra upp användardata. Certifikatet gör att all data mellan användaren och servern är krypterad. Den skyddar lösnord, kortuppgifter, all annan känslig information som man skickar. Det bevisar också att webbplatsen Faktiskt ägs av den som säger sig ägaren. Om du går in på handelsbanken som är det så är det handelsbanken som äger hemsidan.

Och det är för att det inte ska finnas fejkade kopior av hemsidor som försöker lura en. Som säger, matta in dina Handelsbanken uppgifter här Och eftersom att du Autenticerar din server Så minskar du risken För det som vi just pratade om Domän spoofing Det är vad det heter när någon försöker Härma din sajt Och det är ju folk rätt bra på nu för tiden Det är ju Speciellt med negativ AI så kommer det väl bli mer och mer spuffade sajter, antar jag.

[00:12:43] Madde: Ja, jag tänker på alla sådana här sms, bluff-sms man får från posten, typ såhär nu ska du hämta paket, du behöver betala tull, typ matta in dina kortuppgifter här, och så ser det ut precis som postens hemsida.

[00:12:54] Sofia: Exakt. Om man har hört talas om HTTPS, vilket jag hoppas att man har, så är det så att för att få använda HTTPS på sin sida så måste du ha ett SSL eller TLS-certifikat.

HTTPS är den säkra versionen av HTTP och det är i princip standard idag, särskilt för företag men det finns fortfarande otroligt många hemsidor som använder bara HTTP. Det kan man också känna till. Lite skrämmande. Ja, men från en användarsperspektiv då. Jag tror att, kanske vi som jobbar med det här tänker på det.

Men det är nog många som inte vet vad skillnaden mellan HTTP och HTTPS är. Jag tror att alla här i alla fall har sett att i webbläsaren om den är något modern. Så visar man lite sådär hänglås På hemsidan vilket betyder att den är säker och annars så kan man ibland gå in på hemsidan så får man så här meddelanden om att det här är en osäker webbplats din anslutning är inte privat och ibland är det sjukt irriterande för man vet exakt vad det är man försöker gå in på men det handlar ändå om att bygga förtroende och Jag tror att idén är rätt bra i grunden.

[00:14:14] Madde: Ja, vi skulle nog inte vilja vara i en värld utan certifikat i alla fall.

[00:14:18] Sofia: Nej nej nej.

[00:14:20] Madde: Ja, men om man ska kolla på det lite mer tekniskt då vad den gör. Du nämnde kryptering. Det skapas en krypterad tunnel mellan klienten och servern. Och... Alltså om man tittar på det, man beställer liksom ett certifikat från en då CA, Certification Authority, och det är alltså en tredjepart som är betrodd att utfärda och signera certifikat, så att jo vem som helst skulle ju kunna göra det, man kan ju liksom self-signa certifikat också, kan nämna sig också vad det innebär, men just när det kommer från en CA då vet man att okej det här är legitimt

[00:14:57] Sofia: Men om man själv signerar då får man väl inte det här hänglåset.

För då kommer inte, alltså browsern frågar väl typ så här, är det här... Utfärdat av en sån myndighet i princip.

[00:15:12] Madde: Precis. Det kan fortfarande stå samma det här att sidan är inte säker. Men jag kan gå in på lite senare just hur man gör ett self-signed certifikat. Jag kan ju först gå igenom hur man gör ett vanligt.

Men ja, det som CERN gör är att de signerar certifikatet med sin privata nyckel. Vilket gör att webbläsaren kontrollerar att det faktiskt är äkta. Man har ju en publiknyckel som man då kollar emot. Och när då det här surfskottet är klart så installerar man det på servern. Det är det vi nämnde att vi fick göra hos vår kund.

Och sen så skickas ju det vid varje request när man laddar sajten. Och man kan ju till och med gå in och klicka där vid hänglåset tror jag. För att få information om certifikatet. Ja, exakt. För ett certifikat är liksom inte bara ja eller nej att sajten är säker. Utan det är ganska mycket info som finns där.

Det är typ så här, vilken domän är certifikatet giltigt för? Är det giltigt för någon subdomän kanske också? Vem är det utfärdat till? Det kan vara till en specifik person, företag eller en enhet. Vem som har utfärdat det, alltså vilken CA det är, den digitala signaturen som jag nämnde, vilket datum som det har utfärdats och vilket datum det går ut och den publika nyckeln som man behöver för att avkryptera.

Och som sagt, self-signed certificates, som det heter, kan ju vem som helst skapa. Men precis som du sa, det blir självsignerat och det kommer ju inte kunna verifieras av någon utomstående. För att man har både publika och privata nyckeln, så webbläsaren kan ju inte lita på det. Så även om sajten fortfarande har HTTPS så kommer webbläsaren i de allra flesta fall varna eller blockera sajten.

Så att det...

[00:17:01] Sofia: Det är

[00:17:02] Madde: typ inte

[00:17:02] Sofia: lönt men det kan vara värt att nämna varför man skulle använda det överhuvudtaget det är typ i testmiljöer alltså inte produktion eller om det är interna sidor då kan du ha ett sånt eller om man har satt upp det på localhost

[00:17:21] Madde: eller något sånt också så det finns ju användning för det men det är ju inte för produktion om man säger så okej Så ja, det är det som är certifikat.

Och vad kommer att hända i och med det här nya beslutet? Så det finns två delar till det. Dels så har man tittat på hur länge man får använda en tidigare gjord domänvalidering. Alltså det är DCV heter det, det är Domain Control Validation Så det är just det här att man verifierar att det är jag som äger handelsbanken.

Till exempel som du sa, innan man måste validera igen. Men

[00:18:00] Sofia: det liksom, du har ditt search så att det är utfärdat idag, men den här domänvalideringen, är det bara när en browser har skickat ett request till SEON? Alltså är det giltighetstiden på det? Jag förstår inte riktigt vad skillnaden på dem är.

[00:18:21] Madde: Alltså jag tror att domänvalideringen gör det ju till SEON.

[00:18:25] Sofia: Det är

[00:18:26] Madde: liksom inte mellan browsern utan det gör du när du skapar ditt certifikat, om jag har förstått det rätt.

[00:18:32] Sofia: För det är ju olika längder på de här, det var det jag inte fattade. Men vi kanske ser det när du nämner längderna på de här.

[00:18:43] Madde: Ja, för den andra delen är ju själva giltigheten hos certifikatet, alltså hur länge innan man behöver förnyra.

Så detta kommer ske i en trestegsraket. 15 mars är det här, jag vet inte var de har valt det men det är klart något datum ska man välja. Så 15 mars 2026 tar det första förändringen i kraft och då kommer certifikatets maxlängd vara 200 dagar. Så vad blir det i månader typ? Vad är ett halvår?

[00:19:15] Sofia: Ja

[00:19:15] Madde: men lite mer än ett halvår.

Och sen den här då Domain Control Validation får man lov att återanvända i 200 dagar Så du behöver liksom inte göra en ny, om du ska uppdatera ditt certifikat så behöver du inte göra en ny domänvalidering om det inte har gått 200 dagar. Mm, mm. 15 mars 2027, alltså ett år senare, så sänker man certifikatets maxlivslängd till 100 dagar Och Domain Control Validation får återanvändas också i 100 dagar.

Och sen 15 mars 2029 så... Två år till efter det. Så man har ändå ganska lång tid på sig att justera. Då sänks certifikatets max livslängd till 47 dagar. Och den här Domain Control Validation får återanvändas i 10 dagar. Så där är det mycket kortare. Jag vet faktiskt inte exakt varför det är så. Men det

[00:20:12] Sofia: innebär

[00:20:12] Madde: ju att man kommer behöva förnya certifikatet mycket oftare.

Och även då varierera domänen.

[00:20:17] Sofia: Även variereringen ja. Men jag kollar lite här. Det står att... Alltså att det ser vi ändå är själva valideringen. Och certifikatet är beviset du får när du klarat valideringen. Ja, okej Så det är kravet för att få ett cert utfärdat. Och då ska du ha den här txt-filen vi pratade om i DNS förut.

En DNS-post. Du ska ha en HTTP-fil på domänen. Du ska ha e-posten till domänägaren. Så det är alltså inte samma sak som CERT-et, det det jag inte fattade. Men där har du också, ska vi se, giltighetstiden för en DCV-validering brukar vara i 30 till 397 dagar.

[00:21:10] Madde: 397, det var väldigt specifikt. Ja,

[00:21:12] Sofia: tydligen. Och det beror på själva certifikatet.

Så certifikatet styr hur länge det är giltigt typ. Ja, okej.

[00:21:23] Madde: Ja, du hör ju. Alltså det här kommer ju bli ohållbart att göra manuellt Man måste ju verkligen autentisera det för annars kommer man ju drunkna i att bara sitta och uppdatera certifikat hela tiden.

[00:21:34] Sofia: Ja, men varför vill man göra det här? Eller jag kan gissa mig till det, men varför gör man det så himla, alltså det är så stor skillnad också på ett år eller liksom lite mer än en månad

[00:21:50] Madde: Ja, verkligen.

Det handlar ju om säkerhet. Det är faktiskt typ såhär Google och Mozilla och Apple som har tryckt på detta ganska kraftigt. Alltså de stora browser-tillverkarna. De menar ju på att den största anledningen är ju att kortare perioder för giltighetstiden för ett certifikat som då kanske har styrlits eller på annat sätt har blivit kompromissat gör ju att det kan ju utnyttjas i mycket kortare perioder Så om du har ett certifikat som är giltigt i ett år och som blir stulet dag två så har du 363 dagar till att kunna fika sidan och lura användare och liknande.

Alternativet då är ju att bara ha några veckor eller dagar på sig med de här 47 dagar. Och sen så vill man ju också automatisera mer för att det är... Det blir väl också bättre att slippa alla de här processerna som faktiskt gör att det finns risk för att man gör fel. Att det blir lättare att hänga med när det kommer nya säkerhetslösningar och att man kan uppdatera snabbare om det kommer nya algoritmer.

Så det är också en anledning till det. Och sen om man då verkligen tittar på framtiden typ så här, när det kommer kvantatorer. Så... Genom då att korta ner hur länge ett certifikat är giltigt så blir det ju lättare att byta till en starkare kryptering när det behövs och då för att kunna följa nya säkerhetskrav i takt med att de utvecklas för att när kvantatorer kommer, då kommer det ju vara extremt mycket lättare och mycket snabbare att göra intrång och hacka och du vet saker som har tagit lång tid att bara brute forcea kommer ju gå väldigt fort med kvantatorer så att

[00:23:41] Sofia: Man

[00:23:41] Madde: behöver se

[00:23:43] Sofia: upp för

[00:23:43] Madde: det.

[00:23:46] Sofia: Intressant Jag hade inte gissat på kvantdatorer direkt. Det känns fortfarande så långt ifrån Men det var bra att vara förberedd. Men som jag förstår finns det ändå kritik mot det här. Det är rätt intressant. Jag läste att någon hade skrivit att över 47 dagar. Är tillräckligt för att göra en attack. Om du är riktigt seriös, då sitter ju inte du ett år för att hacka det.

[00:24:18] Madde: Nej jag tänker på 47 dagar så kan man ändå göra ganska mycket skada. Om man tittar på alla de hackers som har varit... Vad var det nu, typ förra året den här stora... Vad hette det när det var något tredjepartsystem som blev hackat? Vilket

[00:24:34] Sofia: av dem?

[00:24:35] Madde: Vi tog upp det i något poddavsnitt. Men jag har funderat på Crowdstrike, just det.

Okej Till exempel. Jag menar det gick ju jättefort.

[00:24:47] Sofia: Jag antar att en seriös hackergrupp kommer inte sitta 47 dagar ganska tillräckligt. Men det är klart det kanske blir en liten effekt på det. Det är rätt konstigt. Jag vet inte om du vill automatisera det ändå Varför 47? Det går ju dra ner ännu mer i så fall.

Ja, exakt

[00:25:12] Madde: Jag vet inte varför just 47. Det är ju drygt lite mer än en månad. Och det är väl för att det ska vara någon överlapp också med själva domänvalideringen och så.

[00:25:22] Sofia: Det första jag tänkte också, när du sa att Google och Mozilla har tryckt på det så känns det som att det finns ju pengar att göra i det här.

Och det var det också som stod att folk är så här, men finns det... Några andra motiv bakom det här är det verkligen säkerhet eller är det för att många av dem som ingår i det här CA Browser Forum har egen intresse för att utföra certifikaten men jag vet faktiskt inte hur stor del av deras business det är

[00:25:52] Madde: Alltså just Google och dem jag vet inte om de ens utförde certifikat men jag vet att jag läste lite vilka medlemmar som är och då är det ju sådana som typ automatiserar provisionering av certifikat och liknande där Och många SEA kostar ju faktiskt pengar.

Det är ju Let's Encrypt som är gratis som jag känner till. Någon annan också som inte minns vad den heter nu. Så visst där finns ju absolut pengar. Och inte bara kostnaden för att automatisera och använda deras tjänster för det. Men det är ju en kostnad i varje certifikat också. Jag vet inte. Det kanske är lite foliehatt att tycka att det är...

Jag tror nog att det är bra ändå men...

[00:26:33] Sofia: Ja, men ändå om du, alltså Google, liksom deras ägarealfabet, de äger ju säkert någonting i något sånt, och om du har någon slags intäkt på det här nu, jag vet inte, jag kollade liksom, jag delade ett år på 47, och då blir det ändå 7,8% Gånger mer intäkter på det här. Det är ju ganska extremt.

Det är sant. Man kanske skulle passa på att investera i någon sån certifikatutfärdare. Ja, exakt. Den aktien måste ju redan gått upp om det nu finns någon sån Kanske finns något sånt. Index för SEAS. Det brukar vara värt att kolla. Ni får gärna tipsa om ni känner till det. Jag tror inte det är lönt att gå in i det nu, men...

Det är bara kul att se om det Jag

[00:27:28] Madde: var lite nyfiken att höra vad andra tycker om det också. Så jag kollade på sysadmin-subredditen. För jag tänkte att det måste finnas en tråd om det. Och det gjorde det såklart. Så jag har plockat ut lite av folks åsikter. Till exempel den här. Jag försöker se det positivt.

Åtminstone kommer jag ju sluta glömma hur man gör. Ja, faktiskt. Om man tycker

[00:27:50] Sofia: att något är jobbigt så ska man göra det ofta.

[00:27:53] Madde: Exakt då glömmer man inte. En annan användare som sa, ur ett säkerhetsperspektiv, jag gillar verkligen förändringen och jag förstår varför den görs. Ur ett sysadmin- och driftperspektiv vilken idiotisk förändring.

I en perfekt molnbaserad fullt automatiserad fantasivärld kanske det funkar utan att skapa så mycket extra jobb Men i verkligheten kommer det här leda till massor av manuellt arbete, åtminstone tills folk har bytt ut gammal hårdvara och tillverkarna har hårdvara Patched their shit.

[00:28:21] Sofia: Men gud vad glad att du inte bytts ut av AI och automatiserade lösningar.

Det är väl det vi alla vill. Att stå mäcka och kanske är det som

[00:28:30] Madde: framtidsyrket, såhär sysadmin sitter och bitar cert. Ja. Sen sa någon annan såhär självsignerade certifikat överallt Säkerheten kommer bli sämre på grund av det här.

[00:28:41] Sofia: Varför skulle det bli en massa självsignerade certifikat överallt? Nej men tänk om folk är lata.

[00:28:46] Madde: Ja Nej men typ såhär, de gör self-sign certificates som är giltiga i fem år typ. För du kan ju välja giltighetstid på dem istället.

[00:28:55] Sofia: Ja, men ingen seriös aktör kommer göra det för att du vill inte gå in på en seriös hemsida och få det här varning liksom.

[00:29:02] Madde: Nej, såklart. Tänk om Handelsbanken skulle göra det till exempel.

Nej, det går inte. Men ja, det kanske finns en risk. Jag tänker alltså alla såhär gamla läggarsystem och sånt som inte ens har stöd för den här automatiseringen för att sitter du på din on-prem server server. Jag vet inte hur man ens skulle automatisera det, om det ens går. Eller måste det vara en molntjänst?

Jag vet faktiskt inte.

[00:29:24] Sofia: Nej, du kan ju implementera det i din server. Det känns ju

[00:29:30] Madde: jättekramligt. En annan användare det var min favorit, som bara, fuck it, I'm retiring.

[00:29:37] Sofia: Varför då? Alltså... Nu låter jag som en lat arbetare som är rädd för mitt jobb. Men jag tänker egentligen, om någonting gör att vårat jobb blir mycket viktigare och mer behövt så skulle jag ju bli glad.

Tvärtom nu så bara hör man hur livrädda alla är istället. Det vore jätteskönt att höra igen så här, det är ju så extrem brist på utvecklare och liksom, nej Jag vet inte, men jag förstår att, jag vet inte, det är någonting som känns provocerande med det här, för det känns väldigt mycket som att någon bara gör väldigt mycket pengar på det också Jag håller lite med om den här argumenten att såhär, 47 dagar kommer det verkligen hjälpa?

[00:30:31] Madde: Ja, ja nej visst Man kan gå in och läsa, jag ska se om jag hittar länken in för att släva bort den. Men jag tror det fanns på Github hela deras meeting-mynts och sånt. Och Apple, när de skrev det här förslaget först så skrev de en lång intro. Var det Apple som skrev det? Nej de skrev introt i alla fall till förslaget Och det var så pompöst, för man sätterade här typ Vi vill minska det, unknown unknowns.

Lite så typiskt Apple att det ska vara lite så typiskt Fint i kallen,

[00:31:03] Sofia: typ. Liksom åh gud vad trött. Jag vet inte om det är någon gång hur Apple alltid drar säkerhetskortet som anledningen till varför de kör monopol på allting. Varför de inte öppnar upp iMessage till någon annan. Det är alltid, nej vi vill bara skydda folk.

Och alltid bara för att tjäna pengar. Så det var ju samma med den här... Att de skulle ta 30% i Appstore och så hade de säkerhet som anledning ja

[00:31:34] Madde: nej

[00:31:34] Sofia: det är bättre

[00:31:35] Madde: att bara vara straight up honest då och säga alltså såhär visst man kan inte säga det för vi tjänar pengar men det blir så fint när man ska hålla på och linda in det

[00:31:45] Sofia: ja för att vara ärlig om du kan vad är det åtta dubbla dina intäkter på någon avdelning mm Skulle inte du ljuga här i podden?

Gå med i vår Patreon. Det får jag i säkerhet. Exakt.

[00:32:03] Madde: Vi skickar ut virus i våra vanliga RSS-flöden.

Det var det om certifikat i alla fall jag har ingenting mer att tillägga, har du?

[00:32:16] Sofia: nej för min kunskap tar slut här, så det är bäst att vi avslutar

[00:32:20] Madde: innan vi börjar hallucinera som någon jäkla generativ AI och bara, ja men det är såhär och såhär ja exakt vi har säkert redan

[00:32:27] Sofia: gjort det ja,

[00:32:28] Madde: antagligen

[00:32:28] Sofia: men vi hörs nästa vecka då det gör vi, hejdå