Centre de certificació sense ànim de lucre , controlat per la comunitat i proporcionant certificats de manera gratuïta a tothom, sobre la introducció d'un nou esquema per confirmar l'autoritat per obtenir un certificat per a un domini. El contacte amb el servidor que allotja el directori “/.well-known/acme-challenge/” utilitzat en la prova es realitzarà ara mitjançant diverses peticions HTTP enviades des de 4 adreces IP diferents situades en diferents centres de dades i pertanyents a diferents sistemes autònoms. La comprovació només es considera correcta si almenys 3 de les 4 sol·licituds de diferents IPs tenen èxit.
Comprovar des de diverses subxarxes us permetrà minimitzar els riscos d'obtenir certificats per a dominis estrangers mitjançant la realització d'atacs dirigits que redirigeixen el trànsit mitjançant la substitució de rutes fictícies mitjançant BGP. Quan s'utilitza un sistema de verificació de diverses posicions, un atacant haurà d'aconseguir simultàniament la redirecció de ruta per a diversos sistemes autònoms de proveïdors amb diferents enllaços ascendents, cosa que és molt més difícil que redirigir una única ruta. L'enviament de sol·licituds des de diferents IPs també augmentarà la fiabilitat de la comprovació en cas que s'incloguin hosts únics de Let's Encrypt a les llistes de bloqueig (per exemple, a la Federació Russa, algunes IP de letsencrypt.org van ser bloquejades per Roskomnadzor).
Fins a l'1 de juny, hi haurà un període de transició que permetrà la generació de certificats després de la verificació correcta des del centre de dades principal, si l'amfitrió no és accessible des d'altres subxarxes (per exemple, això pot passar si l'administrador de l'amfitrió del tallafoc només permet sol·licituds de el centre de dades principal de Let's Encrypt o per violacions de la sincronització de zones al DNS). A partir dels registres, es prepararà una llista blanca per als dominis que tinguin problemes amb la verificació de 3 centres de dades addicionals. Només s'inclouran a la llista blanca els dominis amb informació de contacte completada. Si el domini no s'inclou automàticament a la llista blanca, també es pot enviar una sol·licitud de locals mitjançant .
Actualment, el projecte Let's Encrypt ha emès 113 milions de certificats, que cobreixen uns 190 milions de dominis (150 milions de dominis es van cobrir fa un any i 61 milions fa dos anys). Segons les estadístiques del servei de telemetria de Firefox, la quota global de sol·licituds de pàgines mitjançant HTTPS és del 81% (fa un any el 77%, fa dos anys el 69%), i als EUA - el 91%.
A més, es pot assenyalar poma
Deixeu de confiar en els certificats del navegador Safari la vida útil dels quals superi els 398 dies (13 mesos). Està previst que la restricció s'introdueixi només per als certificats emesos a partir de l'1 de setembre de 2020. Per als certificats amb un llarg període de validesa rebuts abans de l'1 de setembre, es conservarà la confiança, però limitada a 825 dies (2.2 anys).
El canvi pot afectar negativament el negoci dels centres de certificació que venen certificats barats amb un període de validesa llarg, fins a 5 anys. Segons Apple, la generació d'aquests certificats crea amenaces addicionals per a la seguretat, interfereix amb la ràpida implementació de nous estàndards criptogràfics i permet als atacants controlar el trànsit de la víctima durant molt de temps o utilitzar-lo per a la pesca en cas d'una filtració de certificat desapercebuda. resultat de la pirateria.
Font: opennet.ru