Názory k článku
Let's Encrypt nevytlačil ze státní správy komerční certifikáty

Jo to mi povidejte. V nasi instituci jsou ajtaci tak dokonali, ze si plati firmu, ktera koupi certifikat od jine firmy.
Navic jsou tak dokonali, ze zvorou i tu vymenu certifikatu jednou za pul roku a uz se mi stalo ze muj emailovy klient hlasil podezreni na utok, protoze novy cerifikat emailoveho serveru byl psany ne na nasi firmu, ale na tu firmu co nam certifikat preprodava. Za 5 hodin to opravili, aniz by cokoliv dali komukoliv vedet. Tou dobou to uz samozrejme v outlooku vetsina uzivatelu odklikla jako ze souhlasi, aniz by si tu hlasku precetli.

Stejně ve školství. Dodáváme nějaké technologie do škol, většina kontaktu s IT je právě kvůli jejich certifikátům. Je tam odpor k automatizaci, freewarové [sic] let's encrypt je určitě podvod, certifikát koupený od geantu je bezpečnější (přestože mají i privátní klíč a posílají jim ho mailem) a vydrží delší dobu, každý rok v jiném formátu, atd :D

Uz jen z letmeho pohledu do certificate transparency logu je zrejme, ze to neni systemovy problem - tech LE certu tam i na skoly najdete hromadu, ale spis je to v konkretnich lidech na konkretnich mistech - asi stejne jak u te statni spravy. Nekde vam holt drepi ten sedesat+letej ajtak, co se to nejak pred roky naucil a nehodla na svych postupech zhola nic menit. Je to o lidech. I zde na rootu najdete po diskuzich "linuxaky ze skol". Takze kdyz se chce....

Ono LE vydava certifikaty pro mezilehly CA? Od kdy?

Takze jako vzdy blabolis o vecech o kterych nemas paru.

Prosím, přestaňte útočit a raději začněte rozumně argumentovat a diskutovat. Třeba mě by zajímalo, proč by měl Let's Encrypt vydávat certifikáty pro mezilehlé CA a jak to souvisí s tématem? Děkuji za objasnění.

Koukam, ze pejska ad hominem utoky stale bavi :-) O tom, o cem ja (ne)mam paru ale vite kulovy. Kolik tech takto vydanych certifikatu je skutecne mezilehlych certifikatu s moznosti vydavat certifikaty dalsi, hmmm...? :-) Vetsina jich takovych neni.

Ten typek z Alpiro @Lupa mj. viditelne spojuje ACME s LE, coz je samo o sobe blabol. ACME je standardizovany protokol, ktery podporuje vicero CA, vc. tech komercnich. Pritom ani to Alpiro nabizi jen wildcard a nebo s vicero alt-name, coz ale jaksi neni ten vas "mezilehly", zeano.

O šedesátileté ajťáky bych se moc neotíral - často toho v praxi umí mnohem více, než třicetiletí mladí, dynamičtí a progresivní borci, kteří marně bádají, proč je to HTTPS tak složité - vždyť zkoušku na vejšce zvládli, tak to přece umějí. (Což berte jako poznatek z praxe.)

V IT obecne je potreba mit schopnost se neustale ucit a umet aplikovat moderni technologie. Ti, o ktere se otiram tuhle schopnost postradaji. A minimalne v me socialni bubline prevladaji ti, kteri se ucit moc nechteji, nejak se to snazi doklepat do penze a hlavne se u toho hlavne moc nepredrit, takze nic noveho se ucit nechteji, naopak vymysli tisic a jeden duvod, prod pri zivote drzet cosi obskurdniho. Ano, znam i par starsich moudrych panu v oboru, kteri maji mysl otevrenou... ale je jich malo.

Jo, tak u nas to opravdu neni problem 60+ letych ajtaku. Ale problem je bezpochyby v tech lidech.

Tak u toho placení firmy na nákup certifikátu je otázka, jestli je to výmysl ajťáků nebo důsledek korporátní politiky, kdy zaplatit to nejde jinak, než fakturou s půlroční splatností, schvaluje to 150 lidí, takže se to taky může protáhnout na měsíce (a většina vyžadatelů nedá certifikát před zaplacením) a vyžaduje se k tomu dalších 100 byrokratických nesmyslů. Pak se celkem nedivím, že to radši koupí od někoho dalšího, kdo sbírá bakšiš na tom, že trpí tyhle byrokratické průtahy a může to koupit sám kreditkou :-)

Vis jak to s tema korporatnima politikama obcas je. Obcas je tam neco napsano a nikdo vlastne nevi proc. Ale metodou ctrl-c - ctrl-v to tak nejak preziva...

Jsem mel za to ze se bavime o certificatech Let's Encrypt, ktere jsou zdarma?
A neni to tak, nakup jde v nasi instituci vyridit za 2 dny (nez si vsimne manazer jedna ze ma neco podepsat, a nez si vsimne druhy, pripadne kdyz za nima zajdu tak je to do 5 minut), a pravidelne opakovane nakupy neni potreba opakovane schvalovat.

Aha, já z věty, že to koupí od firmy co koupí certifikáty pochopil, že používají nějaké komerční placené (ne let's encrypt).

No, u mě ten nákup něčeho takového od někoho cizího je hromada psaní všude možně, vysvětlování, ... kdybych byl nucen kupovat komerční certifikáty, tak to snad taky radši vezmu s marží od někoho, kdo napíše, že to byl balík stahovacích pásek. Takže díky bohu za let's encrypt, že je o další věc méně, kterou je potřeba objednávat... Teda, většinou. Už mi sem přišla jednou jedna firma s tím, že se stará o nějaké MS řešení, že tam LE certifikát dávat nebudou, protože má platnost jenom 3 měsíce a že vyměnit ten certifikát za nový je práce na 3 dny :-)

LE certifikát mám na Windows serveru a je na to free appka, která to nainstaluje a mění, v IIS i všude a zařídí si to - IIS není podmínkou. Zkrátka ACME script, akorát že ve Windows by to s tím, jako skriptem, moc nešlo, tak je to appka běžící jako service (teď za to nedám ruku do ohně, možná se spouští přes plánovač úloh).

28. 2. 2025, 08:38 editováno autorem komentáře

Ano, nas institut kupuje komercni certifikaty od nejakeho preprodejce certifikatu.
A ja zase z tohoto: "nebo důsledek korporátní politiky, kdy zaplatit to nejde jinak...a vyžaduje se k tomu dalších 100 byrokratických nesmyslů" pochopil ze si myslis ze v nasem institutu je problem s nejakou extra byrokracii. Coz rozhodne neni. Teda neni v cenove hladine certifikatu, kdyby staly o 3 rady vic tak je to samozrejme hromada extra byrokracie a vysvetlovani. Ale nakup za par tisic neni problem ani od zahranicni firmy. Nejaka uctarka bude brblat, ale to brblaji vzdycky kdyz se jim objevi prace.

Jenže to zase musíš vedení vysvětlit jak je možné, že ty certifikáty jsou zdarma když za to do teď platili tisíce. Když jde o security, tak najednou nic nechtějí riskovat.

Jasne, koupime si drahou "krabici" a to nam bezpecnost magicky samo vyresi.... akorat ze vubec :-)

Let's Encrypt nevytlačil ze státní správy komerční certifikáty

A to byl jeho cíl?

Já nevím, já LE považuju za CA pro malé soukromé projekty, ale od vážené firmy fakt tak nějak očekávám, že bude mít pozlacený CRT i kdyby to ten prohlížeč nezobrazoval. Prostě ano, my na to máme.

Nevím, jestli je úplně vhodné posuzovat státní projekty podle toho, že používají LE. Komerční CRT stojí 400kč na rok, to není vůbec moc, takže ani cenu do tohodle srovnání moc namontovat nejde. Stát by měl používat nějakou validní CA (už jen dostat se do těch bundlů prohlížečů a javy něco znamená), třeba i českou.

To už je mnohem lepší ten test validity chainu a vůbec celkové nastavení tls a ipv6.

A jaka ze je pridana hodnota takoveho pozlaceneho certifikatu? ;-) Jako ono to ani tak neni o tom, jestli je to LE, nebo jina CA... jako spis o tom, jak se s tim pak pracuje. Nektere komercni CA umi i ACME, takze automatizace v nasazovani neni problem... nekdo na to treba ma interni tooling a resi to jinak. Ale reseni postavena na tom, ze tamhle Pepik z IT kumbalu prohodi jednou za rok nejake soubory na disku a v lepsim pripade nezapomene prestartovat dotcene sluzby neni uplne stastne reseni, zeano. Mame rok 2025, ne rok 1995 :D

U Digicert (a mozna jinde) je moznost si publikovat CAA zaznam na domenu si pak zamknout pro konkretni ucet. Tim padem uz nemuzete ziskat zadny "neplaceny" certifikat, ale soucasne se vam nestane, ze nekdo kdo ziskal delegaci na svuj server vystavi SSL certifikat, aniz byste o tom vedeli.

Asi to neni bezna situace v ceske statni sprave, ale je to jedna z hodnot tech pozlacenych certifikatu. Nekdy je v cene schovany nejaky malware scan. Nekdy je to soucasti auditu, treba musite mit dva certifikaty, aby byla zajistena kontinuita pri vypadku/prusvihu u jedne CA.

Tu moznost zamknout CAA na konkretni ucet ma skrze accounturi i letsencrypt... takze tady to "zlato" nebude :-)

Musim nekdy zkusit, jak se to chova, kdyz bych tech accounturi mel uvedenych vice. Prijde mi, ze to tak pohodlne jako Digicert neni, protoze u LE potrebuji pro vystaveni certifikatu mit privatni klic uctu a soucasne ho potrebuji peclive chranit, protoze pokud nekde utece, tak me muze utocnik revokovat vsechny moje certy (cili idealne bych tech uctu mel mit vice, abych omezil dopad uniku).

Tohle není o Pepík z IT kumbálu, tohle je o nějaké důvěryhodnosti. Já sám mám CRT od LE nasazené i na tkaničkách od bot, ale od některých institucí očekávám trochu vyšší úroveň.

Potom to dopadne, jak jedna pobočka jedné banky v shoping mallu (nebo jak se to u nás jmenuje), kde její společenská prestige klesla pod stánek s kebabem hned o metr vedle. Prostě od banky fakt neočekávám, že tam vlezu s rozjedeným hambáčem a plným nákupním košíkem. Do banky, pokud se vůbec chodí, tak se chodí do mramorového paláce.

A ta "uroven" se prokazuje tak, ze za ten certifikat a ten rucne nasazujete? :-) Nemyslim si. Ostatne historie ukazuje spousty selhani i u tech komercnich certifikacnich autorit, u kterych si malujete nejakou tu domelou lepsi uroven...

Ne, ja si tu lepsi uroven predstavuji predevsim v automatizaci, kdy se chyby lidskeho personalu eliminuji. Jiste, automatizovat jde i s komercnimi CA, u nekterych podpora ACME je... ale realny argument uziti komercnich CA je spis opren o to, ze se certifikat nemusi menit tak casto a ze to ani nejde moc automatizovat.

Ono ve finale bezni lidi vam ochotne odmackaji treba i propadly, nedejboze neplatny certifikat. V tomhle prostredi resit EV/OV moc smysl nedava. Pochybuju, ze uzivatele je realne prevychovat - zodpovednejsi pristup je stavet prostredi, ktere proste nebude zavisle na tom, jestli je zrovna nekdo v praci...

Hele, když je ten pátek a sedíme spolu v hospodě, tak ti klidně odpovím :-D

A ta "uroven" se prokazuje tak, ze za ten certifikat a ten rucne nasazujete?

Tak ta úroveň se dá prokázat různě. Jednak já proti ručnímu nasazení nic nemám, za život jsem na servery ručně nasadil už možná přes 10tis. crt. Proto pracuju v IT, protože mě fakt baví psát ssh server; systemctl reload nginx; power off; power on Přijde mi velmi podivné za každou cenu prosazovat automatizaci. Prostě se rád dotýkám své práce.

Ale hlavně, to, že jsem nejdražší crt kupoval za 30tis. Kč (ne svých) a potom se mi podle přízvuku dovolala jedna Pákistánka a ptala se na moje city a já ji na to odpověděl Brno a bylo to potvrzené, tak to fakt neznamená, že se nutně musí CA zahodit. Možná by stačilo je opravit a možná by pro ČR mohla být slušná CA. A třeba tu by mohl používat stát. Na správné doméně, se správným tls a ipv6.

Nehledě na to, že některé ACME nástroje nejsou také úplně dokonalé. cacert zbytečně vyžadoval roota a dehydrated tvrdošíjně odmítá restartovat služby po obnově certu (asi by se měl napít). Nehledě na tom, že v tom tvém seznamu je i LE.

Ne, ja si tu lepsi uroven predstavuji predevsim v automatizaci, kdy se chyby lidskeho personalu eliminuji.

Já ti to neberu a nejsem proti, ale ono je potřeba najít příčinu. Pokud někdo jednou za rok nezvládne včas nasadit crt, tak stejně tak nezvládne opravit rozbitou automatizaci (a že jsem toho viděl....). Normální CA s platností rok posílají včas měsíc dopředu upozornění, máme monitoring apod. Takže pokud tohle selže, tak to fakt není vina Pepíka v kumbálu. A já, ehm, jsem jednou moc rád vypnul jeden server, i když jsem věděl, že je ten požadavek špatně, čistě jen proto, abych upozornil na to, že ten člověk, co mi ten požadavek dává, je totálně mimo. A opravdu není v mojí odpovědnosti řídit celý svět. Takže pokud odpovědný vedoucí dva roky neřešil vadného člověka, tak já jsem velmi ochotně neřešil jeho vadné příkazy. A ten Pepík z kumbálu to může mít podobně.

Proto taky píšu o těch dalších technologiích. TLS ani IPv6 se nezařídí samo automaticky. A pokud je tohle správně, tak nasazení obnoveného certu je pro ten IT tým nobrainer.

zodpovednejsi pristup je stavet prostredi, ktere proste nebude zavisle na tom, jestli je zrovna nekdo v praci...

S tím naprosto souhlasím. A obnova crt, o které se ví měsíc dopředu, opravdu nepadá na tom, že zrovna není někdo v práci. Pokud někdo z IT není měsíc v práci, tak to má řešit vedení. Pokud se vedení rozhodne toto neřešit, tak potom je vadný crt ten nejmenší problém.

Mate tu hezkou diskuzi, ale doufal jsem ze se konecne dovim v cem spociva ta vyhoda komercnich certifikatu.
Ty pises same kecy o gyrosu a bance, a hromadu nesouvisejicich veci s automatizaci, kolonama, peronama a dalsima nesmyslama.

Ale me by zajimalo, v cem konkretne je ta *opravdova* vyhoda komecnich certifikatu a proc jsou LE certifikaty nevhodne pro banku. (A nezajima me dalsi stat o stanku s gyrosem a dvernikem u banky, ja naopak ocekavam ze banka nebude mit pozlacene CRT, ale zvoli to nejlevnejsi funkcni reseni abych ja nemusel platit to zlato.)

Dotykani se prace je hezke, ale co kdyz vas prejede vlak? :-) Co kdyz budete chtit byt zrovna s rodinou na dovolene? Spousta tech incidentu kolem rucni prace stoji a pada na tom, ze jde casto o one-man-show. Coz je by-design spise amaterismus a ne znamka kvality ;-) Nekdy to dotycni delaji zamerne, aby byli jakoze "nepostradatel­ni"... coz je jeste horsi pristup.

To, ze nektere nastroje vyzaduji rootovska prava neni chyba protokolu - to byl proste jen nekdo liny a nejak to naprogramoval. A ano, je jednodussi pracovat pod rootem, nez si "komplikovat" zivot v prostredi s omezenymi pravy...

Normalni monitoring vam posle notifikaci dopredu (kdyz to mate dobre nastavene) bez ohledu na nabidku sluzeb CA, v tom bych to "zlato" fakt nehledal. A stejne musite monitorovat jednotlive sluzby - notifikace z CA vam jaksi nezabezpeci, ze nekde treba zapomenete... tu sluzbu po vymene restartovat. Aneb mail o blizici se konci platnosti certifikatu nic moc neresi. Navic mail jak znamo.. neni uplne garantovana vec, a taky nemusi dojit vubec :D

A ano, vim ze na tom seznamu je i LE. Diskuze se ale porad toci kolem toho, v cemze je teda to "zlato" komercnich CA. A porad se nejak... nenaslo :-) Akorat zatim padaji argumenty, ktere jsou pod realnou rozlisovaci schopnosti beznych uzivatelu...

Coz je by-design spise amaterismus a ne znamka kvality

No s tím plně souhlasím. Pokud se vedení rozhodne, že místo 4 zastupitelných lidí tam budou 2 s tím, že to stačí (dovolená a nemoci v tomto vesmíru neexistují), tak dotazy, proč to nejede, potom posílejte rovnou na to vedení :-D

Nekdy to dotycni delaji zamerne, aby byli jakoze "nepostradatel­ni"... coz je jeste horsi pristup.

Nad tímhle přemýšlím celý život a je to taky téma na článek. Já se celou kariéru snažím o dead simple přístup, plnou dokumentaci, vydávám to veřejně jako články a potom vidím servery plné tajemných skriptů na tajemných místech po "mocných unix guru" (většinou dost děsivé příběhy) a někde je přesně vidět ten přístup "nevím jak to funguje, ale musím to nastavit, takže 500 řádkový baťák to spraví" - tohle jsou pohrobky na všech OS, a vždy stačilo jeden apt install a rm skript.sh, takže onen guru byl matlal, který nic nevěděl. A nebo se pustil do nečeho, co vůbec neměl dělat. Ono známka profesionála je také v tom, že některé věci prostě nedělá.

A taky jsem si myslel, že je to schválnost a budování nepostradatelnosti, ale když vidím, co jsou schopni lidé poradit v diskusích zde nebo na abclinuxu, tak na to buď jako reakci napíšu článek (jako rada nastavení sítě v crond @reboot mě fakt dostala), nebo jdu raději chytat ryby. Alespoň na odborných fórech by to info mělo být up to date.

Tohle je prostě mnohem složitější problém. :-(

to byl proste jen nekdo liny a nejak to naprogramoval

No "někdo". Kdyby to byl náhodný kolemjdoucí, tak se to ani nedostane do distribucí. Ale tohle byl oficiální klient doporučovaný přímo samotnou LetsEncrypt a na stránkách EFF. A tohle právě potom může způsobovat ty děsivé příběhy. Prostě někdo (dejme tomu začátečník) se podívá jak to dělají profíci, zjistí, že je fajn dělat všechno jako root, tak to tak potom bude dělat. Proto bych od nové CA v nové době a speciálně od EFF čekal přístup "uděláme všechno správně, aby se od nás mohli učit".

Diskuze se ale porad toci kolem toho, v cemze je teda to "zlato" komercnich CA.

To jsem snad naznačil jasně s tou bankou. Pokud se budu přihlašovat do internetového bankovnictví a uvidím tam crt od LE, tak mě to zaujme asi stejně, jako pobočka vedle stánku s gyrosem. Prostě některé věci se ve slušné společnosti nedělají. A stejně jako jsem zvyklý chodit do banky, kde ještě před lety stál zcela zbytečný dveřník v krásném obleku, tak stejně tak bych rád chodil na web banky s crt od nejlepší ca na světě. A po technické stránce je mi jasné, že je to vlastně jedno, ale jako spoustu věcí děláme prostě jen tak pro parádu, ne?

Ne, to neni chyba vedeni, kdyz ocekava ze automatizovatelne veci nedelate rucne. Nadrazi vam neobskakuje osm signalistu, co hazi vyhybky rucne - ale ovladate z jednoho mista vsechny, dnes v podstate doslova uz na kliknuti mysi. Pradlo doma si take predpokladam neperete s mydlem na valse, ale hodite ho do automatky, nasypete prasek, pustite a jdete od toho ;-)

To s tim certifikatem - ehm, kolik lidi se podiva, od koho ten certifikat je? Jasne, ja jsem taky svym zpusobem geek a delam divny veci... ale kdybych vlastni mame rekl, ze existuje neco jako certifikat, tak ji vybuchne hlava... :-) Aneb znovu, jsou veci, co 99% lidi proste neresi a jejich vyznam je precenovan. S tim gyrosem opatrne... :D Ono zvlast v modernich nakupnich chramech se vam to klidne prihodit muze... kdyz teda pomineme pozvolny trend uzavirani kamennych pobecek i u tech bank...

Ne, to neni chyba vedeni, kdyz ocekava ze automatizovatelne veci nedelate rucne.

Je to chyba vedení, protože pokud ten IT tým nezvládá obnovovat crt (což je činnost k odpolední kávě a novinám, prostě nobrainer), tak to automaticky znamená, že nestíhá dělat mnohem podstatnější věci. Prostě pokud se tady skutečně už několik dnů bavíme o tom, že IT nezvládá jednou za rok vyměnit crt pro jednu doménu, tak se obávám, že mají mnohem větší problém, na který třeba zatím není z venku vidět. Třeba jako měnit vadné disky v poli nebo nasazovat zero day aktualizace nebo třeba ... zálohovat.

Nadrazi vam neobskakuje osm signalistu, co hazi vyhybky rucne - ale ovladate z jednoho mista vsechny, dnes v podstate doslova uz na kliknuti mysi.

To je sice "hezké", ale současně to vlastně vůbec nic neřeší, že jo. Ano, vyhodila se hromada lidí, nemusejí dělat fyzicky těžkou práci, máme tabulky, diplom, nositel řádu práce a polibek od Brežněva, ale já jako cestující se stejně dopředu nedozvím (třeba z jízdního řádu) ze kterého nástupiště ten vlak příští měsíc pojede, protože topologie toho nádraží se mění tak rychle, že se odjezd vlaku pro jistotu změní i během čekání. Prostě se nám nečekaně změnila topologie nádraží, to se nedalo očekávat, vůbec to není už sto let stejné.

To s tim certifikatem - ehm, kolik lidi se podiva, od koho ten certifikat je?

Argumentační faul argumentace uživatelem. To, že člověk nepozná, že pije vodu s arsenem fakt neznamená, že tam ten arsen má být. Důležité je, že to pozná odborník.

S tim gyrosem opatrne... :D

Já ho mám taky rád, jím ho častěji, než přiznávám svému lékaři, ale s bankou bych to fakt nekombinoval.

Ono zvlast v modernich nakupnich chramech se vam to klidne prihodit muze...

Do moderních chrámů nákupů chodím pouze přes svou mrtvolu. V podstatě tam chodím pouze z donucení - třeba tady bylo potřeba zrušit jednu pobočku pošty a přesunout jí do nákupního chrámu, teda ehm, ona se ta pobočka vlastně nezrušila, no tak ale co, stejně vám veškerou poštu světa budeme posílat do toho .... chrámu. Protože to máte dál a je to horší cestou. Racionalizace sítě poboček. Takže chodím kolem otevřené pobočky do té vzdálenější.

Jestli tohle napadne banku, tedy zrušíme kamennou pobočku, vykašleme se na digitalizaci a to, co by šlo vyřídit klikáním (stejně jako na tom nádraží :-D) tak ... o tom napíšu blog :D

Stokrat nic umori i osla. Proste kdyz zabijite cas u podobnych nicotnosti, kterych muzou byt klidne desitky, na kloudnou praci neni cas. Jedna domena... no, vetsinou jich i v mensi firme mate vic. A ono se to proste nascita.

Zalohovani je dalsi task, co ma byt automatizovany a nikoliv spolehajici na to, ze admin u odpoledni kavicky odklikne tlacitko BACKUP. Vymena vadneho disku je neco, co zvladne - pardon - i cvicena opicka, a klidne to muze byt ten "nobrainer" - ale tady mj. take plati, ze neni dobry napad setrit za kazdou cenu na hardware a cpat tam nejlevnejsi sunty. A taky to neni cinnost, co by se delala periodicky, narozdil od tech certifikatu.

Jestli si chcete zkusit, jake to je ridit provoz na takovem nadrazi - moznost mate, existuji programky typu Unisim. Rekl bych, ze behem par desitek minut vas ta simulace dostane do stavu, kdy sam nebudete schopny garantovat peron... nebo se vam zacnou podezrele hromadit vlaky :D To vite - zpozdeni, mimoradnosti.... a nejaky planovani peronu jde rychle tak nejak cely do zachodove misy a obratem zacnete tezce improvizovat... :D I v osobni doprave mate jednu nevyzpytatelnou promennou - a to je chovani cestujicich, co tyhle problemy proste generuje. Kazdopadne automatizace i tohle servisni cinnost dost urychluje... ono nez jste zdirigoval toho vyhybkare, co ma kam nahazet, nez vam to cely obehnul... no proste deset minut sem, deset minut tam... zadna mira. No a obcas se stane, ze vam tu veksli hodi blbe a vlak vam jede kam nema...

Odbornik se pozna tak, ze doda argumenty dokladujici vyssi bezpecnost pri pouziti EV/OV certifikatu. Zatim tu ale nic takoveho nepadlo - a co padlo, tak je spis v rovine "placebo". Toliko k "arsenu" ;-) Bezpecnost resime hlavne pro ty (bezny) uzivatele, ne pro uspokojeni sveho libida...

Zalohovani je dalsi task, co ma byt automatizovany

No samozřejmě. A pokud to zálohování selže, tak ten úřad má trochu větší problém, než jen v CA od které bere crt.

Jestli si chcete zkusit, jake to je ridit provoz na takovem nadrazi - moznost mate, existuji programky typu Unisim.

To ani není potřeba. Půlka rodiny pracuje u AŽD, tak vím věci, které ani vědět nechci.

Rekl bych, ze behem par desitek minut vas ta simulace dostane do stavu, kdy sam nebudete schopny garantovat peron... nebo se vam zacnou podezrele hromadit vlaky :D

Tohle je ve skutečnosti moc dobrej příklad. Cílem automatizace vůbec nemá být stav, kdy tam toho bude tolik, že to člověk už prostě nezvládne. A na to nádraží a koleje se fyzicky vleze pouze x vlaků, takže ani sebelepší automatizace s tím nic neudělá. To se potom prostě musí postavit nová kolej. A nasadit automatizaci s cílem nedělat žádné inovace je vlastně jen kontraproduktivní. A vzhledem k tomu, že jednotka dočasnosti je jeden furt, tak než stavět dočasná řešení, tak je vlastně lepší, když to selže s plnou parádou okamžitě.

Automatizovane procesy musite hlidat stejne, jako musite hlidat tu manualni lopatu. Ono situaci, kdy pracovnik deklaruje cinnost, kterou v realu nevykonava pamatuje historie spoustu :D

Ta automatizace vam umoznuje mj. optimalizovat "toky" v siti. Neridite provoz jen od nadrazi k nadrazi systemem, kdy si vypravci telefonicky prehazuji soupravu od stanice ke stanici. Vidite a ridite uceleny pohyb vlaku na cele trati a muzete mj. ridit jejich rychlost tak, aby se vam nejake nadrazi nepreplnilo. Kdyz mate pulku familie na AZD, tak jste jiste slysel o CDP ;-) A samozrejme to otevira dvere i do budoucna, pokud se bavime o tech inovacich, ktere by byly s vyhybkama prehazovanyma rucne z mista a s vypravcim na kazdem rohu nemyslitelne...