Voittoa tavoittelematon sertifiointikeskus , yhteisön hallinnassa ja joka tarjoaa sertifikaatteja maksutta kaikille, uuden järjestelmän käyttöönotosta, jolla varmistetaan valtuutus hankkia varmenne verkkotunnukselle. Yhteydenotto testissä käytettyä "/.well-known/acme-challenge/"-hakemistoa isännöivään palvelimeen tapahtuu nyt useilla HTTP-pyynnöillä, jotka lähetetään neljästä eri IP-osoitteesta, jotka sijaitsevat eri tietokeskuksissa ja kuuluvat eri autonomisiin järjestelmiin. Tarkistus katsotaan onnistuneeksi vain, jos vähintään 4 neljästä eri IP-osoitteiden pyynnöstä onnistuu.
Tarkistamalla useista aliverkoista voit minimoida riskit saada varmenteita ulkomaisille toimialueille suorittamalla kohdennettuja hyökkäyksiä, jotka ohjaavat liikennettä korvaamalla kuvitteellisia reittejä BGP:llä. Käytettäessä usean sijainnin varmennusjärjestelmää hyökkääjän on samanaikaisesti suoritettava reitin uudelleenohjaus useille itsenäisille palveluntarjoajille, joilla on erilaiset ylöslinkit, mikä on paljon vaikeampaa kuin yhden reitin uudelleenohjaus. Pyyntöjen lähettäminen eri IP-osoitteista lisää myös tarkistuksen luotettavuutta siinä tapauksessa, että yksittäiset Let’s Encrypt -isännät sisällytetään estoluetteloihin (esimerkiksi Venäjän federaatiossa Roskomnadzor esti jotkin letsencrypt.org-IP-osoitteet).
Kesäkuun 1. päivään asti on siirtymäaika, joka mahdollistaa varmenteiden luomisen onnistuneen vahvistuksen yhteydessä ensisijaisesta tietokeskuksesta, jos isäntä ei ole tavoitettavissa muista aliverkoista (tämä voi tapahtua esimerkiksi, jos isäntäjärjestelmänvalvoja palomuurissa sallii pyynnöt vain pääasiallinen Let's Encrypt -palvelinkeskus tai DNS:n vyöhykesynkronointirikkomusten vuoksi). Lokien perusteella laaditaan sallittu luettelo verkkotunnuksista, joilla on ongelmia vahvistuksen kanssa kolmesta muusta palvelinkeskuksesta. Vain verkkotunnukset, joissa on täytetyt yhteystiedot, sisällytetään sallittujen luetteloon. Jos verkkotunnus ei sisälly automaattisesti sallittujen listalle, voi tilahakemuksen lähettää myös kautta .
Tällä hetkellä Let’s Encrypt -projekti on myöntänyt 113 miljoonaa sertifikaattia, jotka kattavat noin 190 miljoonaa verkkotunnusta (150 miljoonaa verkkotunnusta suojattiin vuosi sitten ja 61 miljoonaa kaksi vuotta sitten). Firefox Telemetry -palvelun tilastojen mukaan HTTPS:n kautta tehtyjen sivupyyntöjen globaali osuus on 81 % (vuosi sitten 77 %, kaksi vuotta sitten 69 %) ja Yhdysvalloissa 91 %.
Lisäksi voidaan huomauttaa Omena
Älä luota Safari-selaimen varmenteisiin, joiden käyttöikä on yli 398 päivää (13 kuukautta). Rajoitus on tarkoitus ottaa käyttöön vain 1 alkaen myönnettäville varmenteille. Ennen syyskuun 2020. päivää saatujen pitkäkestoisten varmenteiden luottamus säilyy, mutta rajoitetaan 1 päivään (825 vuoteen).
Muutos voi vaikuttaa negatiivisesti halpoja pitkällä, jopa 5 vuoden voimassaoloajalla olevia varmenteita myyvien varmennekeskusten liiketoimintaan. Applen mukaan tällaisten varmenteiden luominen luo ylimääräisiä turvallisuusuhkia, häiritsee uusien kryptostandardien nopeaa käyttöönottoa ja antaa hyökkääjille mahdollisuuden hallita uhrin liikennettä pitkään tai käyttää sitä tietojenkalasteluun, jos varmenne vuotaa huomaamatta. hakkeroinnin seurauksena.
Lähde: opennet.ru