Centre de certification à but non lucratif , contrôlé par la communauté et fournissant des certificats gratuitement à tous, sur l'introduction d'un nouveau système de confirmation de l'autorité pour obtenir un certificat pour un domaine. La prise de contact avec le serveur qui héberge le répertoire « /.well-known/acme-challenge/ » utilisé dans le test s'effectuera désormais à l'aide de plusieurs requêtes HTTP envoyées depuis 4 adresses IP différentes situées dans des centres de données différents et appartenant à des systèmes autonomes différents. La vérification n'est considérée comme réussie que si au moins 3 requêtes sur 4 provenant de différentes IP réussissent.
La vérification depuis plusieurs sous-réseaux permettra de minimiser les risques d'obtention de certificats pour des domaines étrangers en effectuant des attaques ciblées qui redirigent le trafic via la substitution de routes fictives utilisant BGP. Lors de l'utilisation d'un système de vérification multi-positions, un attaquant devra réaliser simultanément une redirection de route pour plusieurs systèmes autonomes de fournisseurs avec des liaisons montantes différentes, ce qui est beaucoup plus difficile que de rediriger une seule route. L'envoi de requêtes à partir de différentes adresses IP augmentera également la fiabilité de la vérification dans le cas où des hôtes uniques Let's Encrypt seraient inclus dans les listes de blocage (par exemple, dans la Fédération de Russie, certaines adresses IP de Let's Encrypt.org ont été bloquées par Roskomnadzor).
Jusqu'au 1er juin, il y aura une période de transition permettant la génération de certificats après vérification réussie depuis le centre de données principal, si l'hôte est inaccessible depuis d'autres sous-réseaux (par exemple, cela peut se produire si l'administrateur de l'hôte sur le pare-feu a autorisé les requêtes uniquement depuis le centre de données principal Let's Encrypt ou à cause de violations de synchronisation de zone dans DNS). Sur la base des journaux, une liste blanche sera préparée pour les domaines qui rencontrent des problèmes de vérification depuis 3 centres de données supplémentaires. Seuls les domaines avec des informations de contact complétées seront inclus dans la liste blanche. Si le domaine n'est pas automatiquement inclus dans la liste blanche, une demande de local peut également être envoyée via .
Actuellement, le projet Let's Encrypt a émis 113 millions de certificats, couvrant environ 190 millions de domaines (150 millions de domaines étaient couverts il y a un an et 61 millions il y a deux ans). Selon les statistiques du service Firefox Telemetry, la part mondiale des requêtes de pages via HTTPS est de 81 % (il y a un an 77 %, il y a deux ans 69 %), et aux États-Unis - 91 %.
De plus, on peut noter Pomme
Arrêtez de faire confiance aux certificats dans le navigateur Safari dont la durée de vie dépasse 398 jours (13 mois). Il est prévu d'introduire cette restriction uniquement pour les certificats délivrés à partir du 1er septembre 2020. Pour les certificats à longue durée de validité reçus avant le 1er septembre, la confiance sera conservée, mais limitée à 825 jours (2.2 ans).
Ce changement pourrait avoir un impact négatif sur l'activité des centres de certification qui vendent des certificats bon marché avec une longue période de validité, jusqu'à 5 ans. Selon Apple, la génération de tels certificats crée des menaces de sécurité supplémentaires, interfère avec la mise en œuvre rapide de nouvelles normes de cryptographie et permet aux attaquants de contrôler le trafic de la victime pendant une longue période ou de l'utiliser à des fins de phishing en cas de fuite de certificat inaperçue. le résultat d'un piratage.
Source: opennet.ru