Gemeinnütziges Zertifizierungszentrum , von der Community kontrolliert und jedem kostenlos Zertifikate zur Verfügung gestellt, über die Einführung eines neuen Schemas zur Bestätigung der Berechtigung zum Erhalt eines Zertifikats für eine Domain. Die Kontaktaufnahme mit dem Server, der das im Test verwendete Verzeichnis „/.well-known/acme-challenge/“ hostet, erfolgt nun über mehrere HTTP-Anfragen, die von vier verschiedenen IP-Adressen gesendet werden, die sich in verschiedenen Rechenzentren befinden und zu verschiedenen autonomen Systemen gehören. Die Prüfung gilt nur dann als erfolgreich, wenn mindestens 4 von 3 Anfragen von unterschiedlichen IPs erfolgreich sind.
Durch die Überprüfung mehrerer Subnetze können Sie das Risiko des Erwerbs von Zertifikaten für fremde Domänen minimieren, indem Sie gezielte Angriffe durchführen, bei denen der Datenverkehr durch die Ersetzung fiktiver Routen mithilfe von BGP umgeleitet wird. Bei Verwendung eines Multi-Position-Verifizierungssystems muss ein Angreifer gleichzeitig eine Routenumleitung für mehrere autonome Systeme von Anbietern mit unterschiedlichen Uplinks erreichen, was viel schwieriger ist als die Umleitung einer einzelnen Route. Das Senden von Anfragen von verschiedenen IPs erhöht auch die Zuverlässigkeit der Prüfung für den Fall, dass einzelne Let's Encrypt-Hosts in Sperrlisten enthalten sind (in der Russischen Föderation wurden beispielsweise einige IPs vonletsencrypt.org von Roskomnadzor blockiert).
Bis zum 1. Juni gibt es eine Übergangsfrist, die die Generierung von Zertifikaten nach erfolgreicher Überprüfung vom primären Rechenzentrum aus ermöglicht, wenn der Host von anderen Subnetzen aus nicht erreichbar ist (dies kann beispielsweise passieren, wenn der Host-Administrator in der Firewall nur Anfragen von zulässt). das Hauptrechenzentrum von Let's Encrypt oder weil Zonensynchronisierungsverletzungen im DNS vorliegen). Basierend auf den Protokollen wird eine Whitelist für Domains erstellt, die Probleme mit der Verifizierung von 3 weiteren Rechenzentren haben. Nur Domains mit vollständigen Kontaktinformationen werden in die Whitelist aufgenommen. Sollte die Domain nicht automatisch in die Whitelist aufgenommen werden, kann eine Flächenbewerbung auch über gesendet werden .
Derzeit hat das Let's Encrypt-Projekt 113 Millionen Zertifikate ausgestellt, die etwa 190 Millionen Domains abdecken (150 Millionen Domains wurden vor einem Jahr abgedeckt, und 61 Millionen vor zwei Jahren). Laut Statistiken des Firefox-Telemetriedienstes beträgt der weltweite Anteil der Seitenanfragen über HTTPS 81 % (vor einem Jahr 77 %, vor zwei Jahren 69 %) und in den USA 91 %.
Darüber hinaus kann darauf hingewiesen werden Apfel
Hören Sie auf, Zertifikaten im Safari-Browser zu vertrauen, deren Lebensdauer 398 Tage (13 Monate) überschreitet. Die Einschränkung soll nur für Zertifikate eingeführt werden, die ab dem 1. September 2020 ausgestellt werden. Bei Zertifikaten mit langer Gültigkeitsdauer, die vor dem 1. September eingehen, bleibt das Vertrauen erhalten, jedoch auf 825 Tage (2.2 Jahre) begrenzt.
Die Änderung kann sich negativ auf das Geschäft von Zertifizierungsstellen auswirken, die günstige Zertifikate mit einer langen Gültigkeitsdauer von bis zu 5 Jahren verkaufen. Laut Apple schafft die Generierung solcher Zertifikate zusätzliche Sicherheitsbedrohungen, beeinträchtigt die schnelle Umsetzung neuer Krypto-Standards und ermöglicht es Angreifern, den Datenverkehr des Opfers über einen längeren Zeitraum zu kontrollieren oder ihn im Falle eines unbemerkten Zertifikatslecks für Phishing zu nutzen ein Ergebnis von Hacking.
Source: opennet.ru