Non-profit certificeringscenter , kontrolleret af fællesskabet og giver certifikater gratis til alle, om indførelse af en ny ordning for bekræftelse af bemyndigelse til at opnå certifikat for et domæne. Kontakt til serveren, der er vært for mappen "/.well-known/acme-challenge/", der blev brugt i testen, vil nu blive udført ved hjælp af flere HTTP-anmodninger sendt fra 4 forskellige IP-adresser placeret i forskellige datacentre og tilhørende forskellige autonome systemer. Kontrollen anses kun for at være vellykket, hvis mindst 3 ud af 4 anmodninger fra forskellige IP'er er vellykkede.
Kontrol fra flere undernet vil give dig mulighed for at minimere risikoen for at opnå certifikater for udenlandske domæner ved at udføre målrettede angreb, der omdirigerer trafik gennem substitution af fiktive ruter ved hjælp af BGP. Når du bruger et multi-position verifikationssystem, skal en angriber samtidig opnå ruteomdirigering for flere autonome systemer af udbydere med forskellige uplinks, hvilket er meget vanskeligere end at omdirigere en enkelt rute. Afsendelse af anmodninger fra forskellige IP'er vil også øge kontrollens pålidelighed i tilfælde af, at enkelte Let's Encrypt-værter er inkluderet i blokeringslister (for eksempel i Den Russiske Føderation blev nogle letsencrypt.org IP'er blokeret af Roskomnadzor).
Indtil 1. juni vil der være en overgangsperiode, der tillader generering af certifikater ved vellykket verifikation fra det primære datacenter, hvis værten ikke er tilgængelig fra andre undernet (det kan f.eks. ske, hvis værtsadministratoren på firewallen kun tillod anmodninger fra kl. det vigtigste Let's Encrypt datacenter eller fordi zonesynkroniseringsovertrædelser i DNS). På baggrund af loggene vil der blive udarbejdet en hvidliste for domæner, der har problemer med verifikation fra 3 yderligere datacentre. Kun domæner med udfyldte kontaktoplysninger vil blive inkluderet på hvidlisten. Er domænet ikke automatisk med på hvidlisten, kan en ansøgning om lokaler også sendes via .
I øjeblikket har Let's Encrypt-projektet udstedt 113 millioner certifikater, der dækker omkring 190 millioner domæner (150 millioner domæner blev dækket for et år siden og 61 millioner for to år siden). Ifølge statistikker fra Firefox Telemetry-tjenesten er den globale andel af sideanmodninger via HTTPS 81% (for et år siden 77%, for to år siden 69%) og i USA - 91%.
Derudover kan det bemærkes Æble
Stop med at stole på certifikater i Safari-browseren, hvis levetid overstiger 398 dage (13 måneder). Begrænsningen er planlagt kun at blive indført for certifikater udstedt fra den 1. september 2020. For certifikater med lang gyldighedsperiode modtaget før 1. september, bevares tilliden, men begrænset til 825 dage (2.2 år).
Ændringen kan påvirke forretningen af certificeringscentre, der sælger billige certifikater med en lang gyldighedsperiode, op til 5 år, negativt. Ifølge Apple skaber genereringen af sådanne certifikater yderligere sikkerhedstrusler, forstyrrer den hurtige implementering af nye kryptostandarder og giver angribere mulighed for at kontrollere ofrets trafik i lang tid eller bruge den til phishing i tilfælde af et ubemærket certifikatlæk som f.eks. et resultat af hacking.
Kilde: opennet.ru