ProHoster > وبلاگ > اخبار اینترنتی > بیایید با استفاده از زیرشبکه‌های مختلف، سوئیچ‌ها را برای تأیید رمزگذاری کنیم

بیایید با استفاده از زیرشبکه‌های مختلف، سوئیچ‌ها را برای تأیید رمزگذاری کنیم

مرکز صدور گواهینامه غیر انتفاعی بیایید رمزگذاری کنیم، توسط جامعه کنترل می شود و گواهینامه ها را به صورت رایگان برای همه ارائه می دهد. اعلام کرد در مورد معرفی یک طرح جدید برای تأیید مرجع برای دریافت گواهی برای یک دامنه. تماس با سروری که میزبان دایرکتوری "/.well-known/acme-challenge/" مورد استفاده در تست است، اکنون با استفاده از چندین درخواست HTTP ارسال شده از 4 آدرس IP مختلف واقع در مراکز داده مختلف و متعلق به سیستم های مستقل مختلف انجام می شود. چک فقط در صورتی موفق تلقی می شود که حداقل 3 از 4 درخواست از IP های مختلف موفق باشد.

بررسی از چندین زیرشبکه به شما این امکان را می دهد تا با انجام حملات هدفمندی که ترافیک را از طریق جایگزینی مسیرهای ساختگی با استفاده از BGP هدایت می کنند، خطرات دریافت گواهینامه برای دامنه های خارجی را به حداقل برسانید. هنگام استفاده از یک سیستم تأیید چند موقعیتی، یک مهاجم باید به طور همزمان به تغییر مسیر برای چندین سیستم خودمختار ارائه‌دهنده با لینک‌های بالا متفاوت دست یابد، که بسیار دشوارتر از تغییر مسیر یک مسیر است. ارسال درخواست‌ها از IP‌های مختلف همچنین قابلیت اطمینان چک را در صورتی که میزبان‌های Let's Encrypt در لیست‌های مسدود شده گنجانده شوند، افزایش می‌دهد (به عنوان مثال، در فدراسیون روسیه، برخی از IP‌های letsencrypt.org توسط Roskomnadzor مسدود شده‌اند).

تا اول ژوئن، یک دوره انتقال وجود خواهد داشت که اجازه می‌دهد گواهی‌ها پس از تأیید موفقیت‌آمیز از مرکز داده اولیه تولید شوند، در صورتی که میزبان از سایر زیرشبکه‌ها غیرقابل دسترسی باشد (به عنوان مثال، اگر مدیر میزبان در فایروال اجازه درخواست‌ها را فقط از مرکز داده اصلی Let's Encrypt یا به دلیل نقض همگام سازی منطقه در DNS). بر اساس گزارش‌ها، یک لیست سفید برای دامنه‌هایی که مشکل تأیید از 1 مرکز داده اضافی دارند، تهیه می‌شود. فقط دامنه هایی با اطلاعات تماس تکمیل شده در لیست سفید قرار خواهند گرفت. اگر دامنه به طور خودکار در لیست سفید گنجانده نشود، یک برنامه کاربردی برای محل نیز می تواند از طریق ارسال شود فرم خاص.

در حال حاضر، پروژه Let's Encrypt 113 میلیون گواهی صادر کرده است که حدود 190 میلیون دامنه را پوشش می دهد (150 میلیون دامنه یک سال قبل و 61 میلیون دو سال پیش). طبق آمار سرویس تله متری فایرفاکس، سهم جهانی درخواست صفحه از طریق HTTPS 81٪ (یک سال قبل 77٪، دو سال پیش 69٪) و در ایالات متحده - 91٪ است.

علاوه بر این، می توان به آن اشاره کرد قصد سیب
از اعتماد به گواهینامه‌ها در مرورگر سافاری که عمر آن‌ها بیش از 398 روز (13 ماه) است، خودداری کنید. این محدودیت برنامه ریزی شده است که فقط برای گواهی های صادر شده از اول سپتامبر 1 اعمال شود. برای گواهینامه هایی با دوره اعتبار طولانی دریافت شده قبل از 2020 سپتامبر، اعتماد حفظ خواهد شد، اما محدود به 1 روز (825 سال).

این تغییر ممکن است بر تجارت مراکز صدور گواهینامه که گواهینامه های ارزان قیمت را با دوره اعتبار طولانی تا 5 سال می فروشند، تأثیر منفی بگذارد. به گفته اپل، تولید چنین گواهی‌هایی تهدیدات امنیتی بیشتری ایجاد می‌کند، با اجرای سریع استانداردهای رمزنگاری جدید تداخل می‌کند و به مهاجمان اجازه می‌دهد تا ترافیک قربانی را برای مدت طولانی کنترل کنند یا در صورت نشت گواهی بدون توجه، از آن برای فیشینگ استفاده کنند. نتیجه هک شدن

منبع: opennet.ru

اضافه کردن نظر