Let's Encrypt ΠΏΠ΅Ρ€Π΅ΡˆΡ‘Π» ΠΊ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ΅ с использованиСм Ρ€Π°Π·Π½Ρ‹Ρ… подсСтСй

НСкоммСрчСский ΡƒΠ΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€ΡΡŽΡ‰ΠΈΠΉ Ρ†Π΅Π½Ρ‚Ρ€ Let’s Encrypt, ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΡ‹ΠΉ сообщСством ΠΈ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠΉ сСртификаты Π±Π΅Π·Π²ΠΎΠ·ΠΌΠ΅Π·Π΄Π½ΠΎ всСм ΠΆΠ΅Π»Π°ΡŽΡ‰ΠΈΠΌ, объявил ΠΎ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠΈ Π½ΠΎΠ²ΠΎΠΉ схСмы ΠΏΠΎΠ΄Ρ‚Π²Π΅Ρ€ΠΆΠ΄Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡ‡ΠΈΠΉ Π½Π° ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ сСртификата для Π΄ΠΎΠΌΠ΅Π½Π°. ΠžΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠ΅ ΠΊ сСрвСру, Π½Π° ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Ρ€Π°Π·ΠΌΠ΅Ρ‰Ρ‘Π½ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ Π² ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ «/.well-known/acme-challenge/», Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡ‚ΡŒΡΡ с использованиСм Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… HTTP-запросов, отправляСмых с 4 Ρ€Π°Π·Π½Ρ‹Ρ… IP-адрСсов, Ρ€Π°Π·ΠΌΠ΅Ρ‰Ρ‘Π½Π½Ρ‹Ρ… Π² Ρ€Π°Π·Π½Ρ‹Ρ… Π΄Π°Ρ‚Π°Ρ†Π΅Π½Ρ‚Ρ€Π°Ρ… ΠΈ ΠΏΡ€ΠΈΠ½Π°Π΄Π»Π΅ΠΆΠ°Ρ‰ΠΈΡ… ΠΊ Ρ€Π°Π·Π½Ρ‹ΠΌ Π°Π²Ρ‚ΠΎΠ½ΠΎΠΌΠ½Ρ‹ΠΌ систСмам. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° признаётся ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΉ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ, Ссли ΠΊΠ°ΠΊ ΠΌΠΈΠ½ΠΈΠΌΡƒΠΌ 3 ΠΈΠ· 4 запросов с Ρ€Π°Π·Π½Ρ‹Ρ… IP оказались ΡƒΡΠΏΠ΅ΡˆΠ½Ρ‹ΠΌΠΈ.

ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° с Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… подсСтСй ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ ΠΌΠΈΠ½ΠΈΠΌΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ риски получСния сСртификатов Π½Π° Ρ‡ΡƒΠΆΠΈΠ΅ Π΄ΠΎΠΌΠ΅Π½Ρ‹ ΠΏΡƒΡ‚Ρ‘ΠΌ провСдСния Ρ†Π΅Π»Π΅Π²Ρ‹Ρ… Π°Ρ‚Π°ΠΊ, ΠΏΠ΅Ρ€Π΅Π½Π°ΠΏΡ€Π°Π²Π»ΡΡŽΡ‰ΠΈΡ… Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Ρ‡Π΅Ρ€Π΅Π· подстановку Ρ„ΠΈΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΎΠ² ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ BGP. ΠŸΡ€ΠΈ использовании ΠΌΠ½ΠΎΠ³ΠΎΠΏΠΎΠ·ΠΈΡ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΌΡƒ потрСбуСтся ΠΎΠ΄Π½ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΠΎ Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ пСрСнаправлСния ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΎΠ² для Π½Π΅ΡΠΊΠΎΠ»ΡŒΠΊΠΈΡ… Π°Π²Ρ‚ΠΎΠ½ΠΎΠΌΠ½Ρ‹Ρ… систСм ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€ΠΎΠ² с Ρ€Π°Π·Π½Ρ‹ΠΌΠΈ Π°ΠΏΠ»ΠΈΠ½ΠΊΠ°ΠΌΠΈ, Ρ‡Ρ‚ΠΎ Π·Π½Π°Ρ‡ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ слоТнСС, Ρ‡Π΅ΠΌ ΠΏΠ΅Ρ€Π΅Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ Π΅Π΄ΠΈΠ½ΠΈΡ‡Π½ΠΎΠ³ΠΎ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Π°. ΠžΡ‚ΠΏΡ€Π°Π²ΠΊΠ° запросов с Ρ€Π°Π·Π½Ρ‹Ρ… IP ΠΊΡ€ΠΎΠΌΠ΅ Ρ‚ΠΎΠ³ΠΎ повысит Π½Π°Π΄Ρ‘ΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ Π² случаС попадания Π΅Π΄ΠΈΠ½ΠΈΡ‡Π½Ρ‹Ρ… хостов Let’s Encrypt Π² списки Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π² Π Π€ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ IP letsencrypt.org ΠΏΠΎΠΏΠ°Π΄Π°Π»ΠΈ ΠΏΠΎΠ΄ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΡƒ Роскомнадзора).

Π”ΠΎ 1 июня Π±ΡƒΠ΄Π΅Ρ‚ Π΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅Ρ…ΠΎΠ΄Π½Ρ‹Ρ… ΠΏΠ΅Ρ€ΠΈΠΎΠ΄, Π΄ΠΎΠΏΡƒΡΠΊΠ°ΡŽΡ‰ΠΈΠΉ Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΡŽ сСртификатов ΠΏΡ€ΠΈ ΡƒΡΠΏΠ΅ΡˆΠ½ΠΎΠΌ ΠΏΡ€ΠΎΡ…ΠΎΠΆΠ΄Π΅Π½ΠΈΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΈΠ· ΠΏΠ΅Ρ€Π²ΠΈΡ‡Π½ΠΎΠ³ΠΎ Π΄Π°Ρ‚Π°Ρ†Π΅Π½Ρ‚Ρ€Π°, ΠΏΡ€ΠΈ нСдоступности хоста с ΠΎΡΡ‚Π°Π»ΡŒΠ½Ρ‹Ρ… подсСтСй (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ρ‚Π°ΠΊΠΎΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΠ»ΡƒΡ‡ΠΈΡ‚ΡŒΡΡ, Ссли администратор хоста Π½Π° мСТсСтСвом экранС Ρ€Π°Π·Ρ€Π΅ΡˆΠΈΠ» запросы Ρ‚ΠΎΠ»ΡŒΠΊΠΎ с основного Π΄Π°Ρ‚Π°Ρ†Π΅Π½Ρ‚Ρ€Π° Let’s Encrypt ΠΈΠ»ΠΈ ΠΈΠ·-Π·Π° Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ синхронизации Π·ΠΎΠ½ Π² DNS). На основС Π»ΠΎΠ³ΠΎΠ² Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²Π»Π΅Π½ Π±Π΅Π»Ρ‹ΠΉ список для Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², Ρƒ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π½Π°Π±Π»ΡŽΠ΄Π°ΡŽΡ‚ΡΡ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ с ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΎΠΉ с 3 Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Ρ‚Π°Ρ†Π΅Π½Ρ‚Ρ€ΠΎΠ². Π’ Π±Π΅Π»Ρ‹ΠΉ список ΠΏΠΎΠΏΠ°Π΄ΡƒΡ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π΄ΠΎΠΌΠ΅Π½Ρ‹ с Π·Π°ΠΏΠΎΠ»Π½Π΅Π½Π½Ρ‹ΠΌΠΈ ΠΊΠΎΠ½Ρ‚Π°ΠΊΡ‚Π½Ρ‹ΠΌΠΈ Π΄Π°Π½Π½Ρ‹ΠΌΠΈ. Π’ случаС Ссли Π΄ΠΎΠΌΠ΅Π½ Π½Π΅ ΠΏΠΎΠΏΠ°Π» Π² Π±Π΅Π»Ρ‹ΠΉ список автоматичСски заявку Π½Π° ΠΏΠΎΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΏΡ€Π°Π²ΠΈΡ‚ΡŒ Ρ‡Π΅Ρ€Π΅Π· ΡΠΏΠ΅Ρ†ΠΈΠ°Π»ΡŒΠ½ΡƒΡŽ Ρ„ΠΎΡ€ΠΌΡƒ.

Π’ настоящСС врСмя ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠΌ Let’s Encrypt Π²Ρ‹Π΄Π°Π½ΠΎ 113 ΠΌΠ»Π½ сСртификатов, ΠΎΡ…Π²Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‰ΠΈΡ… ΠΎΠΊΠΎΠ»ΠΎ 190 ΠΌΠ»Π½ Π΄ΠΎΠΌΠ΅Π½ΠΎΠ² (Π³ΠΎΠ΄ Π½Π°Π·Π°Π΄ Π±Ρ‹Π»ΠΎ ΠΎΡ…Π²Π°Ρ‡Π΅Π½ΠΎ 150 ΠΌΠ»Π½ Π΄ΠΎΠΌΠ΅Π½ΠΎΠ², Π° Π΄Π²Π° Π³ΠΎΠ΄Π° Π½Π°Π·Π°Π΄ — 61 ΠΌΠ»Π½). По статистикС сСрвиса Firefox Telemetry общСмировая доля запросов страниц ΠΏΠΎ HTTPS составляСт 81% (Π³ΠΎΠ΄ Π½Π°Π·Π°Π΄ 77%, Π΄Π²Π° Π³ΠΎΠ΄Π° Π½Π°Π·Π°Π΄ 69%), Π° Π² БША — 91%.

Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Π½Π°ΠΌΠ΅Ρ€Π΅Π½ΠΈΠ΅ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Apple
ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‚ΠΈΡ‚ΡŒ Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€Π΅ Safari Π΄ΠΎΠ²Π΅Ρ€ΠΈΠ΅ ΠΊ сСртификатам, врСмя ΠΆΠΈΠ·Π½ΠΈ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΡ€Π΅Π²Ρ‹ΡˆΠ°Π΅Ρ‚ 398 Π΄Π½Π΅ΠΉ (13 мСсяцСв). ΠžΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ планируСтся ввСсти Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для cΠ΅Ρ€Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΠ², выписанных начиная с 1 сСнтября 2020 Π³ΠΎΠ΄Π°. Для ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹Ρ… Π΄ΠΎ 1 сСнтября сСртификатов с Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ сроком дСйствия Π΄ΠΎΠ²Π΅Ρ€ΠΈΠ΅ Π±ΡƒΠ΄Π΅Ρ‚ сохранСно, Π½ΠΎ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΎ 825 днями (2.2 Π³ΠΎΠ΄Π°).

ИзмСнСниС ΠΌΠΎΠΆΠ΅Ρ‚ Π½Π΅Π³Π°Ρ‚ΠΈΠ²Π½ΠΎ ΠΎΡ‚Ρ€Π°Π·ΠΈΡ‚ΡŒΡΡ Π½Π° бизнСсС ΡƒΠ΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€ΡΡŽΡ‰ΠΈΡ… Ρ†Π΅Π½Ρ‚Ρ€ΠΎΠ², ΠΏΡ€ΠΎΠ΄Π°ΡŽΡ‰ΠΈΡ… Π΄Π΅ΡˆΡ‘Π²Ρ‹Π΅ сСртификаты с Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ сроком дСйствия, доходящим Π΄ΠΎ 5 Π»Π΅Ρ‚. По мнСнию Apple гСнСрация ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Ρ… сСртификатов создаёт Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Π΅ ΡƒΠ³Ρ€ΠΎΠ·Ρ‹ бСзопасности, ΠΌΠ΅ΡˆΠ°Π΅Ρ‚ ΠΎΠΏΠ΅Ρ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΌΡƒ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΡŽ Π½ΠΎΠ²Ρ‹Ρ… криптостандартов ΠΈ позволяСт Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ Π΄Π»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ΅ врСмя ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ ΠΈΠ»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для Ρ„ΠΈΡˆΠΈΠ½Π³Π° Π² случаС Π½Π΅Π·Π°ΠΌΠ΅Ρ‚Π½ΠΎΠΉ ΡƒΡ‚Π΅Ρ‡ΠΊΠΈ сСртификата Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ Π²Π·Π»ΠΎΠΌΠ°.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru