Centro de certificación sin fines de lucro , controlado por la comunidad y proporcionando certificados de forma gratuita a todos, sobre la introducción de un nuevo sistema para confirmar la autoridad para obtener un certificado de dominio. El contacto con el servidor que aloja el directorio “/.well-known/acme-challenge/” utilizado en la prueba ahora se realizará mediante varias solicitudes HTTP enviadas desde 4 direcciones IP diferentes ubicadas en diferentes centros de datos y pertenecientes a diferentes sistemas autónomos. La verificación se considera exitosa solo si al menos 3 de 4 solicitudes de diferentes IP tienen éxito.
La comprobación desde varias subredes le permitirá minimizar los riesgos de obtener certificados para dominios extranjeros mediante la realización de ataques dirigidos que redirigen el tráfico mediante la sustitución de rutas ficticias utilizando BGP. Cuando se utiliza un sistema de verificación de múltiples posiciones, un atacante necesitará lograr simultáneamente la redirección de rutas para varios sistemas autónomos de proveedores con diferentes enlaces ascendentes, lo cual es mucho más difícil que redirigir una sola ruta. El envío de solicitudes desde diferentes IP también aumentará la confiabilidad de la verificación en caso de que se incluyan hosts únicos de Let's Encrypt en las listas de bloqueo (por ejemplo, en la Federación de Rusia, Roskomnadzor bloqueó algunas IP de letsencrypt.org).
Hasta el 1 de junio, habrá un período de transición que permitirá la generación de certificados tras una verificación exitosa desde el centro de datos principal, si no se puede acceder al host desde otras subredes (por ejemplo, esto puede suceder si el administrador del host en el firewall permitió solicitudes solo desde el centro de datos principal de Let's Encrypt o por violaciones de sincronización de zonas en DNS). Según los registros, se preparará una lista blanca para dominios que tengan problemas con la verificación de 3 centros de datos adicionales. Sólo los dominios con información de contacto completa se incluirán en la lista blanca. Si el dominio no se incluye automáticamente en la lista blanca, también se puede enviar una solicitud de local a través de .
Actualmente, el proyecto Let's Encrypt ha emitido 113 millones de certificados, que cubren alrededor de 190 millones de dominios (hace un año se cubrieron 150 millones de dominios y hace dos años 61 millones). Según las estadísticas del servicio Firefox Telemetry, la proporción global de solicitudes de páginas a través de HTTPS es del 81% (hace un año del 77%, hace dos años del 69%), y en los EE. UU. del 91%.
Adicionalmente, se puede señalar Manzana
Deje de confiar en los certificados del navegador Safari cuya vida útil supere los 398 días (13 meses). Está previsto que la restricción se introduzca únicamente para los certificados emitidos a partir del 1 de septiembre de 2020. Para los certificados con un período de validez prolongado recibidos antes del 1 de septiembre, se conservará la confianza, pero limitada a 825 días (2.2 años).
El cambio puede afectar negativamente el negocio de los centros de certificación que venden certificados baratos con un largo período de validez, hasta 5 años. Según Apple, la generación de dichos certificados crea amenazas de seguridad adicionales, interfiere con la rápida implementación de nuevos estándares criptográficos y permite a los atacantes controlar el tráfico de la víctima durante mucho tiempo o utilizarlo para phishing en caso de una fuga de certificado inadvertida. como resultado de la piratería.
Fuente: opennet.ru