Neziskové certifikační centrum , kontrolovaný komunitou a poskytující certifikáty zdarma všem, o zavedení nového schématu potvrzování oprávnění k získání certifikátu pro doménu. Kontaktování serveru, který je hostitelem adresáře „/.well-known/acme-challenge/“ použitého v testu, bude nyní probíhat pomocí několika HTTP požadavků odeslaných ze 4 různých IP adres umístěných v různých datových centrech a patřících do různých autonomních systémů. Kontrola je považována za úspěšnou, pouze pokud jsou úspěšné alespoň 3 ze 4 požadavků z různých IP.
Kontrola z několika podsítí vám umožní minimalizovat rizika získání certifikátů pro cizí domény prováděním cílených útoků, které přesměrovávají provoz prostřednictvím náhrady fiktivních cest pomocí BGP. Při použití vícepolohového ověřovacího systému bude muset útočník současně dosáhnout přesměrování trasy pro několik autonomních systémů poskytovatelů s různými uplinky, což je mnohem obtížnější než přesměrování jediné trasy. Odesílání požadavků z různých IP také zvýší spolehlivost kontroly v případě, že jsou jednotliví hostitelé Let's Encrypt zařazeni do seznamů blokování (například v Ruské federaci byly některé IP adresy letsencrypt.org zablokovány Roskomnadzorem).
Do 1. června bude platit přechodné období umožňující generování certifikátů po úspěšném ověření z primárního datového centra, pokud je hostitel nedosažitelný z jiných podsítí (může se to například stát, pokud správce hostitele na firewallu povolil požadavky pouze z hlavní datové centrum Let's Encrypt nebo kvůli porušení synchronizace zóny v DNS). Na základě logů bude připraven white list pro domény, které mají problémy s ověřením ze 3 dodatečných datových center. Do bílé listiny budou zahrnuty pouze domény s vyplněnými kontaktními informacemi. Pokud doména není automaticky zařazena na white list, lze žádost o prostory odeslat také prostřednictvím .
Aktuálně projekt Let's Encrypt vydal 113 milionů certifikátů, které pokrývají asi 190 milionů domén (před rokem bylo pokryto 150 milionů domén, před dvěma lety 61 milionů). Podle statistik služby Firefox Telemetry je globální podíl požadavků na stránky přes HTTPS 81 % (před rokem 77 %, před dvěma lety 69 %) a v USA - 91 %.
Navíc lze poznamenat Jablko
Přestaňte důvěřovat certifikátům v prohlížeči Safari, jejichž životnost přesahuje 398 dní (13 měsíců). Omezení se plánuje zavést pouze pro certifikáty vydané od 1. září 2020. U certifikátů s dlouhou dobou platnosti obdržených před 1. zářím bude důvěra zachována, ale omezena na 825 dní (2.2 roku).
Změna může negativně ovlivnit podnikání certifikačních center, která prodávají levné certifikáty s dlouhou dobou platnosti, až 5 let. Generování takových certifikátů podle Applu vytváří další bezpečnostní hrozby, narušuje rychlou implementaci nových krypto standardů a umožňuje útočníkům dlouhodobě kontrolovat provoz oběti nebo jej využívat k phishingu v případě nepozorovaného úniku certifikátu jako výsledek hackování.
Zdroj: opennet.ru