Qeyri-kommersiya sertifikatlaşdırma mərkəzi cəmiyyət tərəfindən idarə olunan və hər kəsə pulsuz sertifikatlar təqdim edən, domen üçün sertifikat almaq səlahiyyətinin təsdiqlənməsi üçün yeni sxemin tətbiqi haqqında. Testdə istifadə edilən “/.well-known/acme-challenge/” kataloqunun yerləşdiyi serverlə əlaqə indi müxtəlif məlumat mərkəzlərində yerləşən və müxtəlif avtonom sistemlərə aid olan 4 fərqli IP ünvanından göndərilən bir neçə HTTP sorğusu vasitəsilə həyata keçiriləcək. Yoxlama yalnız müxtəlif IP-lərdən gələn 3 sorğudan ən azı 4-ü uğurlu olarsa uğurlu sayılır.
Bir neçə alt şəbəkədən yoxlama BGP-dən istifadə edərək uydurma marşrutları əvəz etməklə trafiki yönləndirən məqsədyönlü hücumlar həyata keçirməklə xarici domenlər üçün sertifikatların əldə edilməsi risklərini minimuma endirməyə imkan verəcək. Çox mövqeli yoxlama sistemindən istifadə edərkən, təcavüzkar eyni vaxtda müxtəlif yuxarı keçidləri olan bir neçə avtonom provayder sistemləri üçün marşrutun yönləndirilməsinə nail olmalıdır ki, bu da bir marşrutun yönləndirilməsindən qat-qat çətindir. Müxtəlif İP-lərdən sorğuların göndərilməsi, tək Let's Encrypt hostlarının bloklama siyahılarına daxil olması halında çekin etibarlılığını da artıracaq (məsələn, Rusiya Federasiyasında bəzi letsencrypt.org IP-ləri Roskomnadzor tərəfindən bloklanıb).
İyunun 1-dək, əgər host digər alt şəbəkələrdən əlçatmazdırsa, əsas məlumat mərkəzindən uğurla yoxlanıldıqdan sonra sertifikatların yaradılmasına icazə verən keçid dövrü olacaq (məsələn, firewalldakı host administratoru yalnız aşağıdakılardan sorğulara icazə verərsə, bu baş verə bilər. əsas Let's Encrypt data center və ya DNS-də zona sinxronizasiyasının pozulması səbəbindən). Qeydlər əsasında 3 əlavə məlumat mərkəzindən yoxlama ilə bağlı problemi olan domenlər üçün ağ siyahı hazırlanacaq. Yalnız tamamlanmış əlaqə məlumatı olan domenlər ağ siyahıya daxil ediləcək. Domen avtomatik olaraq ağ siyahıya daxil edilmirsə, binalar üçün ərizə də vasitəsilə göndərilə bilər .
Hazırda Let's Encrypt layihəsi təxminən 113 milyon domeni əhatə edən 190 milyon sertifikat verib (150 milyon domen bir il əvvəl, 61 milyon isə iki il əvvəl əhatə olunub). Firefox Telemetry xidmətinin statistikasına əsasən, HTTPS vasitəsilə səhifə sorğularının qlobal payı 81% (bir il əvvəl 77%, iki il əvvəl 69%), ABŞ-da isə 91% təşkil edir.
Əlavə olaraq qeyd etmək olar alma
Ömrü 398 günü (13 ay) keçən Safari brauzerində sertifikatlara etibar etməyi dayandırın. Məhdudiyyətin yalnız 1-ci il sentyabrın 2020-dən verilən sertifikatlar üçün tətbiq edilməsi planlaşdırılır. Sentyabrın 1-dən əvvəl alınmış etibarlılıq müddəti uzun olan sertifikatlar üçün etibar saxlanılacaq, lakin 825 gün (2.2 il) ilə məhdudlaşacaq.
Dəyişiklik uzun etibarlılıq müddəti, 5 ilə qədər ucuz sertifikatlar satan sertifikatlaşdırma mərkəzlərinin işinə mənfi təsir göstərə bilər. Apple şirkətinin fikrincə, bu cür sertifikatların yaradılması əlavə təhlükəsizlik təhdidləri yaradır, yeni kripto standartlarının sürətli tətbiqinə mane olur və zərərçəkmişlərə zərərçəkmişin trafikinə uzun müddət nəzarət etməyə və ya diqqətdən kənarda qalan sertifikat sızması halında ondan fişinq üçün istifadə etməyə imkan verir. sındırmanın nəticəsidir.
Mənbə: opennet.ru