مرکز صدور گواهینامه غیر انتفاعی
بررسی از چندین زیرشبکه به شما این امکان را می دهد تا با انجام حملات هدفمندی که ترافیک را از طریق جایگزینی مسیرهای ساختگی با استفاده از BGP هدایت می کنند، خطرات دریافت گواهینامه برای دامنه های خارجی را به حداقل برسانید. هنگام استفاده از یک سیستم تأیید چند موقعیتی، یک مهاجم باید به طور همزمان به تغییر مسیر برای چندین سیستم خودمختار ارائهدهنده با لینکهای بالا متفاوت دست یابد، که بسیار دشوارتر از تغییر مسیر یک مسیر است. ارسال درخواستها از IPهای مختلف همچنین قابلیت اطمینان چک را در صورتی که میزبانهای Let's Encrypt در لیستهای مسدود شده گنجانده شوند، افزایش میدهد (به عنوان مثال، در فدراسیون روسیه، برخی از IPهای letsencrypt.org توسط Roskomnadzor مسدود شدهاند).
تا اول ژوئن، یک دوره انتقال وجود خواهد داشت که اجازه میدهد گواهیها پس از تأیید موفقیتآمیز از مرکز داده اولیه تولید شوند، در صورتی که میزبان از سایر زیرشبکهها غیرقابل دسترسی باشد (به عنوان مثال، اگر مدیر میزبان در فایروال اجازه درخواستها را فقط از مرکز داده اصلی Let's Encrypt یا به دلیل نقض همگام سازی منطقه در DNS). بر اساس گزارشها، یک لیست سفید برای دامنههایی که مشکل تأیید از 1 مرکز داده اضافی دارند، تهیه میشود. فقط دامنه هایی با اطلاعات تماس تکمیل شده در لیست سفید قرار خواهند گرفت. اگر دامنه به طور خودکار در لیست سفید گنجانده نشود، یک برنامه کاربردی برای محل نیز می تواند از طریق ارسال شود
در حال حاضر، پروژه Let's Encrypt 113 میلیون گواهی صادر کرده است که حدود 190 میلیون دامنه را پوشش می دهد (150 میلیون دامنه یک سال قبل و 61 میلیون دو سال پیش). طبق آمار سرویس تله متری فایرفاکس، سهم جهانی درخواست صفحه از طریق HTTPS 81٪ (یک سال قبل 77٪، دو سال پیش 69٪) و در ایالات متحده - 91٪ است.
علاوه بر این، می توان به آن اشاره کرد
از اعتماد به گواهینامهها در مرورگر سافاری که عمر آنها بیش از 398 روز (13 ماه) است، خودداری کنید. این محدودیت برنامه ریزی شده است که فقط برای گواهی های صادر شده از اول سپتامبر 1 اعمال شود. برای گواهینامه هایی با دوره اعتبار طولانی دریافت شده قبل از 2020 سپتامبر، اعتماد حفظ خواهد شد، اما محدود به 1 روز (825 سال).
این تغییر ممکن است بر تجارت مراکز صدور گواهینامه که گواهینامه های ارزان قیمت را با دوره اعتبار طولانی تا 5 سال می فروشند، تأثیر منفی بگذارد. به گفته اپل، تولید چنین گواهیهایی تهدیدات امنیتی بیشتری ایجاد میکند، با اجرای سریع استانداردهای رمزنگاری جدید تداخل میکند و به مهاجمان اجازه میدهد تا ترافیک قربانی را برای مدت طولانی کنترل کنند یا در صورت نشت گواهی بدون توجه، از آن برای فیشینگ استفاده کنند. نتیجه هک شدن
منبع: opennet.ru