Neprofitni certifikacijski centar , koje kontroliše zajednica i daje sertifikate besplatno svima, o uvođenju nove šeme za potvrđivanje ovlašćenja za dobijanje sertifikata za domen. Kontaktiranje servera na kojem se nalazi direktorij “/.well-known/acme-challenge/” korišten u testu sada će se vršiti korištenjem nekoliko HTTP zahtjeva poslatih sa 4 različite IP adrese koje se nalaze u različitim centrima podataka i koje pripadaju različitim autonomnim sistemima. Provjera se smatra uspješnom samo ako su barem 3 od 4 zahtjeva sa različitih IP adresa uspješna.
Provjera iz nekoliko podmreža omogućit će vam da minimizirate rizike dobivanja certifikata za strane domene izvođenjem ciljanih napada koji preusmjeravaju promet zamjenom fiktivnih ruta korištenjem BGP-a. Kada koristi sistem verifikacije sa više pozicija, napadač će morati istovremeno da postigne preusmeravanje rute za nekoliko autonomnih sistema provajdera sa različitim uplinkovima, što je mnogo teže od preusmeravanja jedne rute. Slanje zahtjeva s različitih IP adresa također će povećati pouzdanost provjere u slučaju da su pojedinačni hostovi Let's Encrypt uključeni na liste blokiranja (na primjer, u Ruskoj Federaciji, Roskomnadzor je blokirao neke IP adrese letsencrypt.org).
Do 1. juna postojat će prijelazni period koji omogućava generiranje certifikata nakon uspješne verifikacije iz primarnog centra podataka, ako je host nedostupan iz drugih podmreža (na primjer, to se može dogoditi ako administrator hosta na firewall-u dozvoli zahtjeve samo od glavni Let's Encrypt data centar ili zbog kršenja sinhronizacije zone u DNS-u). Na osnovu logova biće pripremljena bela lista za domene koji imaju problema sa verifikacijom iz 3 dodatna data centra. Na bijelu listu će biti uključene samo domene sa popunjenim kontakt informacijama. Ukoliko domena nije automatski uvrštena na bijelu listu, prijava za lokal se može poslati i putem .
Trenutno je projekat Let's Encrypt izdao 113 miliona sertifikata, koji pokrivaju oko 190 miliona domena (pre godinu dana pokriveno je 150 miliona domena, a pre dve godine 61 milion). Prema statistikama servisa Firefox Telemetry, globalni udio zahtjeva stranica putem HTTPS-a je 81% (prije godinu dana 77%, prije dvije godine 69%), au SAD-u 91%.
Osim toga, može se primijetiti Apple
Prestanite vjerovati certifikatima u Safari pretraživaču čiji vijek trajanja prelazi 398 dana (13 mjeseci). Planirano je da se ograničenje uvede samo za sertifikate izdate od 1. septembra 2020. godine. Za sertifikate sa dugim rokom važenja primljenih pre 1. septembra, poverenje će biti zadržano, ali ograničeno na 825 dana (2.2 godine).
Promena može negativno uticati na poslovanje sertifikacionih centara koji prodaju jeftine sertifikate sa dugim rokom važenja, do 5 godina. Prema Appleu, generiranje takvih certifikata stvara dodatne sigurnosne prijetnje, ometa brzu implementaciju novih kripto standarda i omogućava napadačima da duže vrijeme kontrolišu promet žrtve ili ga koriste za phishing u slučaju neprimijećenog curenja certifikata kao što je npr. rezultat hakovanja.
izvor: opennet.ru