Non-profit sertifisearring sintrum , kontrolearre troch de mienskip en it leverjen fan sertifikaten fergees foar elkenien, oer de ynfiering fan in nij skema foar befêstiging fan autoriteit om in sertifikaat te krijen foar in domein. Kontakt opnimme mei de tsjinner dy't de "/.well-known/acme-challenge/" map brûkt yn 'e test sil no wurde útfierd mei ferskate HTTP-oanfragen ferstjoerd fan 4 ferskillende IP-adressen dy't yn ferskate datasintra lizze en hearre ta ferskate autonome systemen. De kontrôle wurdt allinich as suksesfol beskôge as op syn minst 3 fan 'e 4 oanfragen fan ferskate IP's suksesfol binne.
Kontrolearje fan ferskate subnetten sil jo de risiko's minimalisearje foar it krijen fan sertifikaten foar bûtenlânske domeinen troch doelgerichte oanfallen út te fieren dy't ferkear trochferwize troch it ferfangen fan fiktive rûtes mei BGP. By it brûken fan in systeem foar ferifikaasje fan meardere posysjes, sil in oanfaller tagelyk rûte-omlieding moatte berikke foar ferskate autonome systemen fan providers mei ferskate uplinks, wat folle dreger is as it omlieden fan in inkele rûte. It ferstjoeren fan fersiken fan ferskate IP's sil ek de betrouberens fan 'e kontrôle ferheegje yn it gefal dat inkele Let's Encrypt-hosts binne opnommen yn blokkearjende listen (bygelyks, yn 'e Russyske Federaasje, guon letsencrypt.org IP's waarden blokkearre troch Roskomnadzor).
Oant 1 juny sil d'r in oergongsperioade wêze dy't it generearjen fan sertifikaten mooglik makket by suksesfolle ferifikaasje fan it primêre datasintrum, as de host net te berikken is fan oare subnetten (dit kin bygelyks barre as de hostbehearder op 'e brânmuorre oanfragen allinich tastien hat fan de wichtichste Let's Encrypt data sintrum of omdat sône syngronisaasje oertredings yn DNS). Op grûn fan de logs sil in wite list wurde taret foar domeinen dy't problemen hawwe mei ferifikaasje fan 3 ekstra datasintra. Allinich domeinen mei foltôge kontaktynformaasje wurde opnommen yn 'e wite list. Komt it domein net automatysk yn de wite list, dan kin ek in oanfraach foar pânen fia .
Op it stuit hat it Let's Encrypt-projekt 113 miljoen sertifikaten útjûn, dy't sawat 190 miljoen domeinen dekke (150 miljoen domeinen waarden in jier lyn behannele, en 61 miljoen twa jier lyn). Neffens statistiken fan de Firefox Telemetry-tsjinst is it wrâldwide oandiel fan sideoanfragen fia HTTPS 81% (in jier lyn 77%, twa jier lyn 69%), en yn 'e FS - 91%.
Derneist kin it opmurken wurde Appel
Stopje mei it fertrouwen fan sertifikaten yn 'e Safari-blêder waans libben langer is dan 398 dagen (13 moannen). De beheining is pland om allinich yntrodusearre te wurden foar sertifikaten útjûn fanôf 1 septimber 2020. Foar sertifikaten mei in lange jildigensperioade ûntfongen foar 1 septimber, wurdt fertrouwen behâlden, mar beheind ta 825 dagen (2.2 jier).
De feroaring kin negatyf beynfloedzje it bedriuw fan sertifisearringsintra dy't goedkeape sertifikaten ferkeapje mei in lange jildigensperioade, oant 5 jier. Neffens Apple makket de generaasje fan sokke sertifikaten ekstra befeiligingsbedrigingen, ynterfereart it mei de rappe ymplemintaasje fan nije kryptonoarmen, en lit oanfallers it ferkear fan it slachtoffer foar in lange tiid kontrolearje of it brûke foar phishing yn it gefal fan in net opmurken sertifikaatlek as in gefolch fan hacking.
Boarne: opennet.ru