Let's Encrypt перешёл к проверке с использованием разных подсетей

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о внедрении новой схемы подтверждение полномочий на получение сертификата для домена. Обращение к серверу, на котором размещён используемый в проверки каталог «/.well-known/acme-challenge/», теперь будет осуществляться с использованием нескольких HTTP-запросов, отправляемых с 4 разных IP-адресов, размещённых в разных датацентрах и принадлежащих к разным автономным системам. Проверка признаётся успешной только, если как минимум 3 из 4 запросов с разных IP оказались успешными.

Проверка с нескольких подсетей позволит минимизировать риски получения сертификатов на чужие домены путём проведения целевых атак, перенаправляющих трафик через подстановку фиктивных маршрутов при помощи BGP. При использовании многопозиционной системы проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута. Отправка запросов с разных IP кроме того повысит надёжность проверки в случае попадания единичных хостов Let’s Encrypt в списки блокировки (например, в РФ некоторые IP letsencrypt.org попадали под блокировку Роскомнадзора).

До 1 июня будет действовать переходных период, допускающий генерацию сертификатов при успешном прохождении проверки из первичного датацентра, при недоступности хоста с остальных подсетей (например, такое может случиться, если администратор хоста на межсетевом экране разрешил запросы только с основного датацентра Let’s Encrypt или из-за нарушения синхронизации зон в DNS). На основе логов будет подготовлен белый список для доменов, у которых наблюдаются проблемы с проверкой с 3 дополнительных датацентров. В белый список попадут только домены с заполненными контактными данными. В случае если домен не попал в белый список автоматически заявку на помещение также можно отправить через специальную форму.

В настоящее время проектом Let’s Encrypt выдано 113 млн сертификатов, охватывающих около 190 млн доменов (год назад было охвачено 150 млн доменов, а два года назад — 61 млн). По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 81% (год назад 77%, два года назад 69%), а в США — 91%.

Дополнительно можно отметить, намерение компании Apple
прекратить в браузере Safari доверие к сертификатам, время жизни которых превышает 398 дней (13 месяцев). Ограничение планируется ввести только для cертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года).

Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. По мнению Apple генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.

Источник: opennet.ru