Μη κερδοσκοπικό κέντρο πιστοποίησης , ελέγχεται από την κοινότητα και παρέχει πιστοποιητικά δωρεάν σε όλους, σχετικά με την εισαγωγή ενός νέου συστήματος για την επιβεβαίωση της αρχής για τη λήψη πιστοποιητικού για έναν τομέα. Η επικοινωνία με τον διακομιστή που φιλοξενεί τον κατάλογο "/.well-known/acme-challenge/" που χρησιμοποιείται στη δοκιμή θα πραγματοποιείται πλέον με χρήση πολλών αιτημάτων HTTP που αποστέλλονται από 4 διαφορετικές διευθύνσεις IP που βρίσκονται σε διαφορετικά κέντρα δεδομένων και ανήκουν σε διαφορετικά αυτόνομα συστήματα. Ο έλεγχος θεωρείται επιτυχής μόνο εάν τουλάχιστον 3 από τα 4 αιτήματα από διαφορετικές IP είναι επιτυχείς.
Ο έλεγχος από πολλά υποδίκτυα θα σας επιτρέψει να ελαχιστοποιήσετε τους κινδύνους απόκτησης πιστοποιητικών για ξένους τομείς πραγματοποιώντας στοχευμένες επιθέσεις που ανακατευθύνουν την κυκλοφορία μέσω της αντικατάστασης πλασματικών διαδρομών χρησιμοποιώντας BGP. Όταν χρησιμοποιείται ένα σύστημα επαλήθευσης πολλαπλών θέσεων, ένας εισβολέας θα πρέπει να επιτύχει ταυτόχρονα ανακατεύθυνση διαδρομής για πολλά αυτόνομα συστήματα παρόχων με διαφορετικές uplinks, κάτι που είναι πολύ πιο δύσκολο από την ανακατεύθυνση μιας μεμονωμένης διαδρομής. Η αποστολή αιτημάτων από διαφορετικές IP θα αυξήσει επίσης την αξιοπιστία του ελέγχου σε περίπτωση που μεμονωμένοι κεντρικοί υπολογιστές Let's Encrypt περιλαμβάνονται σε λίστες αποκλεισμού (για παράδειγμα, στη Ρωσική Ομοσπονδία, ορισμένες IP του letsencrypt.org αποκλείστηκαν από την Roskomnadzor).
Έως την 1η Ιουνίου, θα υπάρχει μια μεταβατική περίοδος που θα επιτρέπει τη δημιουργία πιστοποιητικών μετά την επιτυχή επαλήθευση από το κύριο κέντρο δεδομένων, εάν ο κεντρικός υπολογιστής δεν είναι προσβάσιμος από άλλα υποδίκτυα (για παράδειγμα, αυτό μπορεί να συμβεί εάν ο διαχειριστής του κεντρικού υπολογιστή στο τείχος προστασίας επιτρέπει αιτήματα μόνο από το κύριο Let's Encrypt data center ή επειδή παραβιάσεις συγχρονισμού ζωνών στο DNS). Με βάση τα αρχεία καταγραφής, θα προετοιμαστεί μια λευκή λίστα για τομείς που αντιμετωπίζουν προβλήματα με την επαλήθευση από 3 επιπλέον κέντρα δεδομένων. Μόνο τομείς με συμπληρωμένα στοιχεία επικοινωνίας θα περιλαμβάνονται στη λευκή λίστα. Εάν ο τομέας δεν περιλαμβάνεται αυτόματα στη λευκή λίστα, μια αίτηση για εγκαταστάσεις μπορεί επίσης να σταλεί μέσω .
Επί του παρόντος, το έργο Let's Encrypt έχει εκδώσει 113 εκατομμύρια πιστοποιητικά, που καλύπτουν περίπου 190 εκατομμύρια τομείς (150 εκατομμύρια τομείς καλύφθηκαν πριν από ένα χρόνο και 61 εκατομμύρια πριν από δύο χρόνια). Σύμφωνα με στατιστικά στοιχεία της υπηρεσίας Firefox Telemetry, το παγκόσμιο μερίδιο των αιτημάτων σελίδων μέσω HTTPS είναι 81% (πριν ένα χρόνο 77%, πριν από δύο χρόνια 69%) και στις ΗΠΑ - 91%.
Επιπλέον, μπορεί να σημειωθεί μήλο
Σταματήστε να εμπιστεύεστε πιστοποιητικά στο πρόγραμμα περιήγησης Safari των οποίων η διάρκεια ζωής υπερβαίνει τις 398 ημέρες (13 μήνες). Ο περιορισμός προβλέπεται να τεθεί μόνο για πιστοποιητικά που εκδίδονται από την 1η Σεπτεμβρίου 2020. Για πιστοποιητικά με μεγάλη περίοδο ισχύος που ελήφθησαν πριν από την 1η Σεπτεμβρίου, η εμπιστοσύνη θα διατηρηθεί, αλλά περιορίζεται σε 825 ημέρες (2.2 έτη).
Η αλλαγή ενδέχεται να επηρεάσει αρνητικά τις δραστηριότητες των κέντρων πιστοποίησης που πωλούν φθηνά πιστοποιητικά με μεγάλη διάρκεια ισχύος, έως και 5 χρόνια. Σύμφωνα με την Apple, η δημιουργία τέτοιων πιστοποιητικών δημιουργεί πρόσθετες απειλές για την ασφάλεια, παρεμβαίνει στην ταχεία εφαρμογή νέων προτύπων κρυπτογράφησης και επιτρέπει στους εισβολείς να ελέγχουν την κυκλοφορία του θύματος για μεγάλο χρονικό διάστημα ή να τη χρησιμοποιούν για phishing σε περίπτωση απαρατήρητης διαρροής πιστοποιητικού ως αποτέλεσμα πειρατείας.
Πηγή: opennet.ru