Nie-winsgewende sertifiseringsentrum , beheer deur die gemeenskap en die verskaffing van sertifikate gratis aan almal, oor die instelling van 'n nuwe skema vir die bevestiging van gesag om 'n sertifikaat vir 'n domein te bekom. Om die bediener te kontak wat die “/.well-known/acme-challenge/”-gids wat in die toets gebruik word, sal nou uitgevoer word deur gebruik te maak van verskeie HTTP-versoeke wat gestuur word vanaf 4 verskillende IP-adresse wat in verskillende datasentrums geleë is en aan verskillende outonome stelsels behoort. Die kontrole word slegs as suksesvol beskou as ten minste 3 uit 4 versoeke van verskillende IP's suksesvol is.
Deur van verskeie subnette na te gaan, sal jy die risiko's van die verkryging van sertifikate vir buitelandse domeine tot die minimum beperk deur geteikende aanvalle uit te voer wat verkeer herlei deur die vervanging van fiktiewe roetes met behulp van BGP. Wanneer 'n multi-posisie-verifikasiestelsel gebruik word, sal 'n aanvaller gelyktydig roete-herleiding moet bereik vir verskeie outonome stelsels van verskaffers met verskillende opskakels, wat baie moeiliker is as om 'n enkele roete te herlei. Die stuur van versoeke vanaf verskillende IP's sal ook die betroubaarheid van die tjek verhoog in die geval dat enkele Let's Encrypt-gashere by blokkeerlyste ingesluit is (byvoorbeeld, in die Russiese Federasie is sommige letsencrypt.org IP's deur Roskomnadzor geblokkeer).
Tot 1 Junie sal daar 'n oorgangstydperk wees wat die generering van sertifikate toelaat by suksesvolle verifikasie vanaf die primêre datasentrum, as die gasheer onbereikbaar is vanaf ander subnette (dit kan byvoorbeeld gebeur as die gasheeradministrateur op die brandmuur versoeke slegs vanaf die belangrikste Kom ons Enkripteer datasentrum of omdat sone-sinchronisasie oortredings in DNS). Gebaseer op die logs, sal 'n wit lys voorberei word vir domeine wat probleme het met verifikasie van 3 bykomende datasentrums. Slegs domeine met voltooide kontakinligting sal by die witlys ingesluit word. Indien die domein nie outomaties by die witlys ingesluit word nie, kan 'n aansoek vir 'n perseel ook via .
Tans het die Let's Encrypt-projek 113 miljoen sertifikate uitgereik, wat ongeveer 190 miljoen domeine dek (150 miljoen domeine is 'n jaar gelede gedek, en 61 miljoen twee jaar gelede). Volgens statistieke van die Firefox Telemetrie-diens is die wêreldwye aandeel bladsyversoeke via HTTPS 81% ('n jaar gelede 77%, twee jaar gelede 69%), en in die VSA - 91%.
Daarbenewens kan dit opgemerk word appel
Hou op om sertifikate in die Safari-blaaier te vertrou wie se leeftyd 398 dae (13 maande) oorskry. Die beperking word beplan om slegs ingestel te word vir sertifikate wat vanaf 1 September 2020 uitgereik word. Vir sertifikate met 'n lang geldigheidstydperk wat voor 1 September ontvang is, sal trust behou word, maar beperk word tot 825 dae (2.2 jaar).
Die verandering kan die besigheid van sertifiseringsentrums wat goedkoop sertifikate verkoop met 'n lang geldigheidstydperk, tot 5 jaar, negatief beïnvloed. Volgens Apple skep die generering van sulke sertifikate bykomende sekuriteitsbedreigings, meng dit in met die vinnige implementering van nuwe kriptostandaarde, en stel aanvallers in staat om die slagoffer se verkeer vir 'n lang tyd te beheer of dit te gebruik vir uitvissing in die geval van 'n ongemerkte sertifikaatlek soos 'n gevolg van inbraak.
Bron: opennet.ru