Canolfan ardystio di-elw , a reolir gan y gymuned a darparu tystysgrifau am ddim i bawb, ar gyflwyno cynllun newydd ar gyfer cadarnhau awdurdod i gael tystysgrif ar gyfer parth. Bydd cysylltu Γ’'r gweinydd sy'n cynnal y cyfeiriadur β/.well-known/acme-challenge/β a ddefnyddir yn y prawf nawr yn cael ei wneud gan ddefnyddio sawl cais HTTP a anfonwyd o 4 cyfeiriad IP gwahanol sydd wedi'u lleoli mewn gwahanol ganolfannau data ac sy'n perthyn i wahanol systemau ymreolaethol. Ystyrir bod y gwiriad yn llwyddiannus dim ond os bydd o leiaf 3 o bob 4 cais gan wahanol IPs yn llwyddiannus.
Bydd gwirio o sawl is-rwydwaith yn eich galluogi i leihau'r risgiau o gael tystysgrifau ar gyfer parthau tramor trwy gynnal ymosodiadau wedi'u targedu sy'n ailgyfeirio traffig trwy amnewid llwybrau ffug gan ddefnyddio BGP. Wrth ddefnyddio system wirio aml-safle, bydd angen i ymosodwr gyflawni ailgyfeirio llwybr ar yr un pryd ar gyfer sawl system ymreolaethol o ddarparwyr gyda gwahanol ddolennau uwch, sy'n llawer anoddach nag ailgyfeirio llwybr sengl. Bydd anfon ceisiadau gan wahanol IPs hefyd yn cynyddu dibynadwyedd y siec os bydd gwesteiwyr Let's Encrypt sengl yn cael eu cynnwys mewn rhestrau blocio (er enghraifft, yn Ffederasiwn Rwsia, cafodd rhai IPs letsencrypt.org eu rhwystro gan Roskomnadzor).
Hyd at Fehefin 1, bydd cyfnod pontio yn caniatΓ‘u cynhyrchu tystysgrifau ar Γ΄l dilysu llwyddiannus o'r ganolfan ddata sylfaenol, os yw'r gwesteiwr yn anghyraeddadwy o is-rwydweithiau eraill (er enghraifft, gall hyn ddigwydd pe bai gweinyddwr y gwesteiwr ar y wal dΓ’n yn caniatΓ‘u ceisiadau oddi wrth y brif ganolfan ddata Let's Encrypt neu oherwydd troseddau cydamseru parth yn DNS). Yn seiliedig ar y logiau, bydd rhestr wen yn cael ei pharatoi ar gyfer parthau sydd Γ’ phroblemau dilysu o 3 canolfan ddata ychwanegol. Dim ond parthau gyda gwybodaeth gyswllt gyflawn fydd yn cael eu cynnwys yn y rhestr wen. Os nad yw'r parth yn cael ei gynnwys yn awtomatig ar y rhestr wen, gellir anfon cais am eiddo hefyd drwy .
Ar hyn o bryd, mae'r prosiect Let's Encrypt wedi cyhoeddi 113 miliwn o dystysgrifau, sy'n cwmpasu tua 190 miliwn o barthau (cafodd 150 miliwn o barthau eu cwmpasu flwyddyn yn Γ΄l, a 61 miliwn ddwy flynedd yn Γ΄l). Yn Γ΄l ystadegau gwasanaeth Firefox Telemetry, y gyfran fyd-eang o geisiadau tudalennau trwy HTTPS yw 81% (flwyddyn yn Γ΄l 77%, dwy flynedd yn Γ΄l 69%), ac yn yr Unol Daleithiau - 91%.
Yn ogystal, gellir ei nodi Afal
Peidiwch ag ymddiried mewn tystysgrifau yn y porwr Safari y mae eu hoes yn fwy na 398 diwrnod (13 mis). Bwriedir cyflwynoβr cyfyngiad ar gyfer tystysgrifau a gyhoeddir yn dechrau o 1 Medi, 2020 yn unig. Ar gyfer tystysgrifau gyda chyfnod dilysrwydd hir a dderbyniwyd cyn Medi 1, bydd ymddiriedaeth yn cael ei chadw, ond yn gyfyngedig i 825 diwrnod (2.2 mlynedd).
Gall y newid effeithio'n negyddol ar fusnes canolfannau ardystio sy'n gwerthu tystysgrifau rhad gyda chyfnod dilysrwydd hir, hyd at 5 mlynedd. Yn Γ΄l Apple, mae cynhyrchu tystysgrifau o'r fath yn creu bygythiadau diogelwch ychwanegol, yn ymyrryd Γ’ gweithrediad cyflym safonau crypto newydd, ac yn caniatΓ‘u i ymosodwyr reoli traffig y dioddefwr am amser hir neu ei ddefnyddio ar gyfer gwe-rwydo os bydd tystysgrif yn gollwng heb i neb sylwi. o ganlyniad i hacio.
Ffynhonnell: opennet.ru