Некамерцыйны які сведчыць цэнтр , кантраляваны супольнасцю і які прадстаўляе сертыфікаты бязвыплатна ўсім жадаючым, аб укараненні новай схемы пацвярджэнне паўнамоцтваў на атрыманне сертыфіката для дамена. Зварот да сервера, на якім размешчаны выкарыстоўваны ў праверкі каталог "/.well-known/acme-challenge/", зараз будзе ажыццяўляцца з выкарыстаннем некалькіх HTTP-запытаў, якія адпраўляюцца з 4 розных IP-адрасоў, размешчаных у розных датацэнтрах і прыналежных да розных аўтаномным сістэмам. Праверка прызнаецца паспяховай толькі, калі як мінімум 3 з 4 запытаў з розных IP аказаліся паспяховымі.
Праверка з некалькіх падсетак дазволіць мінімізаваць рызыкі атрымання сертыфікатаў на чужыя дамены шляхам правядзення мэтавых нападаў, якія перанакіроўваюць трафік праз падстаноўку фіктыўных маршрутаў пры дапамозе BGP. Пры выкарыстанні шматпазіцыйнай сістэмы праверкі атакаваламу запатрабуецца адначасова дамагчыся перанакіраванні маршрутаў для некалькіх аўтаномных сістэм правайдэраў з рознымі аплінкамі, што значна складаней, чым перанакіраванне адзінкавага маршруту. Адпраўка запытаў з розных IP таксама павялічыць надзейнасць праверкі ў выпадку траплення адзінкавых хастоў Let's Encrypt у спісы блакавання (напрыклад, у РФ некаторыя IP letsencrypt.org траплялі пад блакіроўку Роскомнадзора).
Да 1 чэрвеня будзе дзейнічаць пераходны перыяд, які дапускае генерацыю сертыфікатаў пры паспяховым праходжанні праверкі з першаснага датацэнтра, пры недаступнасці хаста з астатніх падсетак (напрыклад, такое можа здарыцца, калі адміністратар хаста на міжсеткавым экране дазволіў запыты толькі з асноўнага датацэнтра Let's Encry. парушэнні сінхранізацыі зон у DNS). На аснове логаў будзе падрыхтаваны белы спіс для даменаў, у якіх назіраюцца праблемы з праверкай з 3 дадатковых датацэнтраў. У белы спіс патрапяць толькі дамены з запоўненымі кантактнымі дадзенымі. У выпадку, калі дамен не патрапіў у белы спіс аўтаматычна заяўку на памяшканне таксама можна адправіць праз .
У цяперашні час праектам Let's Encrypt выдадзена 113 сертыфікатаў, якія ахопліваюць каля 190 млн даменаў (год таму было ахоплена 150 даменаў, а два гады таму – 61 млн). Па статыстыцы сэрвісу Firefox Telemetry агульнасусветная доля запытаў старонак па HTTPS складае 81% (год таму 77%, два гады таму 69%), а ў ЗША – 91%.
Дадаткова можна адзначыць, кампаніі Apple
спыніць у браўзэры Safari давер да сертыфікатаў, час жыцця якіх перавышае 398 дзён (13 месяцаў). Абмежаванне плануецца ўвесці толькі для сертыфікатаў, выпісаных пачынаючы з 1 верасня 2020 года. Для атрыманых да 1 верасня сертыфікатаў з працяглым тэрмінам дзеяння давер будзе захаваны, але абмежаваны 825 днямі (2.2 гады).
Змена можа негатыўна адбіцца на бізнэсе якія сведчаць цэнтраў, якія прадаюць танныя сертыфікаты з працяглым тэрмінам дзеяння, якія даходзяць да 5 гадоў. На думку Apple генерацыя падобных сертыфікатаў стварае дадатковыя пагрозы бяспецы, перашкаджае аператыўнаму ўкараненню новых крыптастандартаў і дазваляе зламыснікам працяглы час кантраляваць трафік ахвяры або выкарыстоўваць для фішынгу ў выпадку незаўважнай уцечкі сертыфіката ў выніку ўзлому.
Крыніца: opennet.ru