Centru di certificazione senza prufittu , cuntrullata da a cumunità è furnisce certificati gratuitamente à tutti, nantu à l'intruduzioni di un novu schema per cunfirmà l'autorità per ottene un certificatu per un duminiu. Cuntattà u servitore chì ospitu u repertoriu "/.well-known/acme-challenge/" utilizatu in a prova serà avà realizatu cù parechje richieste HTTP mandate da 4 indirizzi IP differenti situati in centri di dati diffirenti è appartene à diversi sistemi autonomi. U cuntrollu hè cunsideratu successu solu s'ellu almenu 3 di 4 richieste da diverse IP sò successu.
A verificazione da parechji subnets vi permetterà di minimizzà i risichi di ottene certificati per i domini stranieri attuendu attacchi mirati chì redirige u trafficu per via di a sostituzione di rotte fittizie cù BGP. Quandu s'utilice un sistema di verificazione multi-pusizioni, un attaccu hà bisognu à ottene simultaneamente a redirezzione di a strada per parechji sistemi autonomi di fornituri cù uplinks differenti, chì hè assai più difficiule di redirezzione di una sola strada. L'inviu di richieste da diverse IP aumenterà ancu l'affidabilità di u cuntrollu in l'eventu chì l'ospiti unichi Let's Encrypt sò inclusi in listi di bloccu (per esempiu, in a Federazione Russa, certi IPs letsencrypt.org sò stati bluccati da Roskomnadzor).
Finu à u 1 di ghjugnu, ci sarà un periodu di transizione chì permetterà a generazione di certificati dopu a verificazione riescita da u centru di dati primariu, se l'ospitu ùn hè micca accessibile da altre subnets (per esempiu, questu pò accade se l'amministratore di l'ospiti nantu à u firewall hà permessu e dumande solu da u 3 di ghjugnu). u centru di dati principale Let's Encrypt o perchè violazioni di sincronizazione di zona in DNS). Basatu nantu à i logs, una lista bianca serà preparata per i duminii chì anu prublemi cù verificazione da XNUMX centri di dati supplementari. Solu i duminii cù l'infurmazione di cuntattu cumpleta seranu inclusi in a lista bianca. Se u duminiu ùn hè micca automaticamente inclusu in a lista bianca, una dumanda per i locali pò ancu esse mandata via .
Attualmente, u prughjettu Let's Encrypt hà emessu 113 milioni di certificati, chì coprenu circa 190 milioni di domini (150 milioni di duminii sò stati cuparti un annu fà, è 61 milioni dui anni fà). Sicondu statistiche di u serviziu Firefox Telemetry, a parte globale di e dumande di pagina via HTTPS hè 81% (un annu fà 77%, dui anni fà 69%), è in i Stati Uniti - 91%.
Inoltre, pò esse nutatu Apple
Smetti di fidàrisi di i certificati in u navigatore Safari chì a so vita supera i 398 ghjorni (13 mesi). A restrizione hè prevista per esse introdotta solu per i certificati emessi à partesi da u 1 di settembre di u 2020. Per i certificati cù un longu periodu di validità ricevuti prima di u 1 di settembre, a fiducia serà mantenuta, ma limitata à 825 ghjorni (2.2 anni).
U cambiamentu pò influenzà negativamente l'affari di i centri di certificazione chì vende certificati à pocu pressu cù un longu periodu di validità, finu à 5 anni. Sicondu Apple, a generazione di tali certificati crea minacce di sicurezza supplementari, interferisce cù l'implementazione rapida di novi standard di criptu è permette à l'attaccanti di cuntrullà u trafficu di a vittima per un bellu pezzu o l'utilizanu per phishing in casu di una fuga di certificatu inosservata cum'è risultatu di pirate.
Source: opennet.ru