Neprofitcela atesta centro , kontrolita de la komunumo kaj disponigante atestojn senpage al ĉiuj, pri la enkonduko de nova skemo por konfirmi aŭtoritaton akiri atestilon por domajno. Kontakti la servilon, kiu gastigas la dosierujon "/.well-known/acme-challenge/" uzata en la testo, nun estos farita per pluraj HTTP-petoj senditaj de 4 malsamaj IP-adresoj situantaj en malsamaj datumcentroj kaj apartenantaj al malsamaj aŭtonomaj sistemoj. La kontrolo estas konsiderata sukcesa nur se almenaŭ 3 el 4 petoj de malsamaj IP-oj sukcesas.
Kontroli de pluraj subretoj permesos al vi minimumigi la riskojn akiri atestojn por eksterlandaj domajnoj farante celitajn atakojn, kiuj redirektas trafikon per la anstataŭigo de fikciaj itineroj uzante BGP. Kiam vi uzas plurpozician konfirmsistemon, atakanto devos samtempe atingi itineran redirekton por pluraj aŭtonomaj sistemoj de provizantoj kun malsamaj suprenligoj, kio estas multe pli malfacila ol redirekti ununuran itineron. Sendi petojn de malsamaj IP-oj ankaŭ pliigos la fidindecon de la ĉeko en la okazo, ke ununuraj gastigantoj de Let's Encrypt estas inkluzivitaj en blokaj listoj (ekzemple, en Rusa Federacio, iuj letsencrypt.org IP-oj estis blokitaj de Roskomnadzor).
Ĝis la 1-a de junio, estos transira periodo permesanta la generacion de atestiloj post sukcesa konfirmo de la primara datumcentro, se la gastiganto estas neatingebla de aliaj subretoj (ekzemple, tio povas okazi se la gastiga administranto sur la fajroŝirmilo permesis petojn nur de la ĉefa Let's Encrypt datumcentro aŭ ĉar zonsinkronigaj malobservoj en DNS). Surbaze de la protokoloj, blanka listo estos preparita por domajnoj, kiuj havas problemojn kun konfirmo de 3 pliaj datumcentroj. Nur domajnoj kun kompletaj kontaktinformoj estos inkluzivitaj en la blanka listo. Se la domajno ne estas aŭtomate inkluzivita en la blanka listo, oni ankaŭ povas sendi aplikaĵon por ejo .
Nuntempe, la projekto Let's Encrypt eldonis 113 milionojn da atestiloj, kovrante ĉirkaŭ 190 milionojn da domajnoj (150 milionoj da domajnoj estis kovritaj antaŭ jaro, kaj 61 milionoj antaŭ du jaroj). Laŭ statistiko de la Firefox Telemetry-servo, la tutmonda parto de paĝpetoj per HTTPS estas 81% (antaŭ unu jaro 77%, antaŭ du jaroj 69%), kaj en Usono - 91%.
Aldone, ĝi povas esti notita pomo
Ĉesu fidi atestilojn en la retumilo Safari, kies vivdaŭro superas 398 tagojn (13 monatoj). La limigo estas planita esti enkondukita nur por atestiloj eldonitaj ekde la 1-a de septembro 2020. Por atestiloj kun longa validecperiodo ricevitaj antaŭ la 1-a de septembro, fido estos konservita, sed limigita al 825 tagoj (2.2 jaroj).
La ŝanĝo povas negative influi la komercon de atestadcentroj, kiuj vendas malmultekostajn atestojn kun longa validecperiodo, ĝis 5 jaroj. Laŭ Apple, la generacio de tiaj atestiloj kreas pliajn sekurecajn minacojn, malhelpas la rapidan efektivigon de novaj kriptaj normoj kaj permesas al atakantoj kontroli la trafikon de la viktimo dum longa tempo aŭ uzi ĝin por phishing okaze de nerimarkita atestilfluo kiel rezulto de hakado.
fonto: opennet.ru