مركز شهادات غير ربحية ، التي يسيطر عليها المجتمع وتقدم الشهادات مجانا للجميع، بشأن إدخال نظام جديد لتأكيد سلطة الحصول على شهادة للمجال. سيتم الآن الاتصال بالخادم الذي يستضيف الدليل "/.well-known/acme-challenge/" المستخدم في الاختبار باستخدام عدة طلبات HTTP مرسلة من 4 عناوين IP مختلفة موجودة في مراكز بيانات مختلفة وتنتمي إلى أنظمة مستقلة مختلفة. يعتبر الفحص ناجحًا فقط في حالة نجاح 3 طلبات على الأقل من أصل 4 طلبات من عناوين IP مختلفة.
سيسمح لك التحقق من عدة شبكات فرعية بتقليل مخاطر الحصول على شهادات للنطاقات الأجنبية عن طريق تنفيذ هجمات مستهدفة تعيد توجيه حركة المرور من خلال استبدال المسارات الوهمية باستخدام BGP. عند استخدام نظام فحص متعدد المواقع، سيحتاج المهاجم إلى تحقيق إعادة توجيه المسار في نفس الوقت للعديد من الأنظمة المستقلة لمقدمي الخدمة ذوي الوصلات الصاعدة المختلفة، وهو أمر أكثر صعوبة بكثير من إعادة توجيه مسار واحد. سيؤدي إرسال الطلبات من عناوين IP مختلفة أيضًا إلى زيادة موثوقية التحقق في حالة إدراج مضيفي Let's Encrypt الفرديين في قوائم الحظر (على سبيل المثال، في الاتحاد الروسي، تم حظر بعض عناوين IP الخاصة بـ Letsencrypt.org بواسطة Roskomnadzor).
حتى 1 يونيو، ستكون هناك فترة انتقالية تسمح بإنشاء الشهادات عند التحقق الناجح من مركز البيانات الأساسي، إذا كان المضيف غير قابل للوصول من شبكات فرعية أخرى (على سبيل المثال، يمكن أن يحدث هذا إذا سمح مسؤول المضيف على جدار الحماية بالطلبات من فقط مركز بيانات Let's Encrypt الرئيسي أو بسبب انتهاكات مزامنة المنطقة في DNS). بناءً على السجلات، سيتم إعداد قائمة بيضاء للنطاقات التي تواجه مشكلات في التحقق من 3 مراكز بيانات إضافية. سيتم تضمين النطاقات التي تحتوي على معلومات الاتصال المكتملة فقط في القائمة البيضاء. إذا لم يتم تضمين النطاق تلقائيًا في القائمة البيضاء، فيمكن أيضًا إرسال طلب للمباني عبر .
حاليًا، أصدر مشروع Let's Encrypt 113 مليون شهادة، تغطي حوالي 190 مليون نطاق (تم تغطية 150 مليون نطاق قبل عام، و61 مليون قبل عامين). وفقًا لإحصائيات خدمة Firefox Telemetry، تبلغ الحصة العالمية لطلبات الصفحات عبر HTTPS 81% (قبل عام 77%، قبل عامين 69%)، وفي الولايات المتحدة - 91%.
بالإضافة إلى ذلك ، يمكن ملاحظته تفاحة
التوقف عن الثقة في الشهادات في متصفح Safari الذي يتجاوز عمره 398 يومًا (13 شهرًا). ومن المقرر أن يتم تطبيق التقييد فقط على الشهادات الصادرة بدءًا من 1 سبتمبر 2020. بالنسبة للشهادات ذات فترة صلاحية طويلة تم استلامها قبل 1 سبتمبر، سيتم الاحتفاظ بالثقة، ولكنها تقتصر على 825 يومًا (2.2 سنة).
وقد يؤثر التغيير سلباً على عمل مراكز التصديق التي تبيع شهادات رخيصة الثمن وفترة صلاحية طويلة تصل إلى 5 سنوات. وفقًا لشركة Apple، فإن إنشاء مثل هذه الشهادات يخلق تهديدات أمنية إضافية، ويتعارض مع التنفيذ السريع لمعايير التشفير الجديدة ويسمح للمهاجمين بالتحكم في حركة مرور الضحية لفترة طويلة أو استخدامها للتصيد الاحتيالي في حالة تسرب الشهادة دون أن يلاحظها أحد باعتبارها عملية اختراق. نتيجة القرصنة.
المصدر: opennet.ru