Mittetulunduslik sertifitseerimiskeskus , mida kontrollib kogukond ja mis pakub kõigile tasuta sertifikaate, domeeni sertifikaadi saamiseks volituse kinnitamise uue skeemi kasutuselevõtu kohta. Testis kasutatud kataloogi “/.well-known/acme-challenge/” majutava serveriga ühenduse võtmine toimub nüüd mitme HTTP päringu abil, mis saadetakse neljalt erinevalt IP-aadressilt, mis asuvad erinevates andmekeskustes ja kuuluvad erinevatesse autonoomsetesse süsteemidesse. Kontroll loetakse edukaks ainult siis, kui erinevatelt IP-delt pärit päringust 4-st on vähemalt 3 edukad.
Kontrollimine mitmest alamvõrgust võimaldab teil minimeerida välismaiste domeenide sertifikaatide hankimise riske, viies läbi sihitud rünnakuid, mis suunavad liiklust ümber fiktiivsete marsruutide asendamise kaudu BGP-ga. Mitme positsiooniga kinnitussüsteemi kasutamisel peab ründaja saavutama üheaegselt marsruudi ümbersuunamise mitme erineva üleslingiga pakkuja autonoomse süsteemi jaoks, mis on palju keerulisem kui ühe marsruudi ümbersuunamine. Erinevatelt IP-delt päringute saatmine suurendab ka kontrolli usaldusväärsust juhul, kui blokeerimisloenditesse on lisatud üksikud Let's Encrypt hostid (näiteks Vene Föderatsioonis blokeeris Roskomnadzor mõned letsencrypt.org IP-d).
Kuni 1. juunini kehtib üleminekuperiood, mis võimaldab esmasest andmekeskusest eduka verifitseerimise korral sertifikaate genereerida, kui hosti ei saa teistest alamvõrkudest kätte (näiteks võib see juhtuda, kui tulemüüri hostiadministraator lubas päringuid ainult alates peamine Let's Encrypt andmekeskus või DNS-i tsoonide sünkroonimise rikkumiste tõttu). Logide põhjal koostatakse valge nimekiri domeenidele, millel on probleeme kontrollimisega 3 täiendavast andmekeskusest. Ainult täidetud kontaktandmetega domeenid kaasatakse valgesse nimekirja. Kui domeen ei ole automaatselt valgesse nimekirja kantud, saab ruumide taotluse saata ka läbi .
Praegu on projekt Let's Encrypt välja andnud 113 miljonit sertifikaati, mis hõlmavad umbes 190 miljonit domeeni (aasta tagasi oli kaetud 150 miljonit ja kaks aastat tagasi 61 miljonit). Firefoxi telemeetria teenuse statistika kohaselt on HTTPS-i kaudu lehepäringute osakaal globaalselt 81% (aasta tagasi 77%, kaks aastat tagasi 69%) ja USA-s 91%.
Lisaks võib märkida Apple
Ärge usaldage Safari brauseris sertifikaate, mille eluiga ületab 398 päeva (13 kuud). Piirang on kavas kehtestada ainult alates 1. septembrist 2020 väljastatavatele sertifikaatidele. Enne 1. septembrit saadud pika kehtivusajaga sertifikaatide puhul säilib usaldus, kuid see on piiratud 825 päevaga (2.2 aastat).
Muudatus võib negatiivselt mõjutada pika, kuni 5-aastase kehtivusajaga odavaid sertifikaate müüvate sertifitseerimiskeskuste tegevust. Apple’i sõnul tekitab selliste sertifikaatide genereerimine täiendavaid turvaohte, segab uute krüptostandardite kiiret juurutamist ning võimaldab ründajatel pikka aega kontrollida ohvri liiklust või kasutada seda märkamatu sertifikaadi lekke korral andmepüügiks. häkkimise tulemus.
Allikas: opennet.ru