Centro de certificación sen ánimo de lucro , controlada pola comunidade e proporcionando certificados de balde a todos, sobre a introdución dun novo esquema para confirmar a autoridade para obter un certificado para un dominio. O contacto co servidor que aloxa o directorio “/.well-known/acme-challenge/” empregado na proba agora realizarase mediante varias solicitudes HTTP enviadas desde 4 enderezos IP diferentes situados en distintos centros de datos e pertencentes a distintos sistemas autónomos. A comprobación considérase exitosa só se polo menos 3 de cada 4 solicitudes de IP diferentes teñen éxito.
A comprobación desde varias subredes permitirá minimizar os riscos de obter certificados para dominios estranxeiros mediante a realización de ataques dirixidos que redirixen o tráfico mediante a substitución de rutas ficticias mediante BGP. Cando se utiliza un sistema de verificación de varias posicións, un atacante terá que conseguir simultaneamente a redirección de rutas para varios sistemas autónomos de provedores con diferentes ligazóns ascendentes, o que é moito máis difícil que redireccionar unha única ruta. O envío de solicitudes desde diferentes IPs tamén aumentará a fiabilidade da comprobación no caso de que os hosts únicos de Let's Encrypt estean incluídos nas listas de bloqueo (por exemplo, na Federación Rusa, Roskomnadzor bloqueou algunhas IP de letsencrypt.org).
Ata o 1 de xuño, haberá un período de transición que permitirá a xeración de certificados tras a verificación exitosa desde o centro de datos principal, se o host non é accesible desde outras subredes (por exemplo, isto pode ocorrer se o administrador do servidor do firewall só permitiu solicitudes de o centro de datos principal de Let's Encrypt ou debido a violacións de sincronización de zonas no DNS). En función dos rexistros, prepararase unha lista branca para os dominios que teñan problemas coa verificación de 3 centros de datos adicionais. Só se incluirán na lista branca os dominios coa información de contacto completada. Se o dominio non se inclúe automaticamente na lista branca, tamén se pode enviar unha solicitude de instalación a través de .
Actualmente, o proxecto Let's Encrypt emitiu 113 millóns de certificados, que abarcan uns 190 millóns de dominios (150 millóns de dominios foron cubertos hai un ano e 61 millóns hai dous anos). Segundo as estatísticas do servizo de telemetría de Firefox, a cota global de solicitudes de páxinas a través de HTTPS é do 81% (hai un ano o 77%, hai dous anos o 69%), e nos EUA - o 91%.
Ademais, pódese sinalar Apple
Deixa de confiar nos certificados do navegador Safari cuxa vida útil supere os 398 días (13 meses). Está previsto que a restrición se introduza só para os certificados emitidos a partir do 1 de setembro de 2020. Para os certificados cun longo período de validez recibidos antes do 1 de setembro, manterase a confianza, pero limitada a 825 días (2.2 anos).
O cambio pode afectar negativamente ao negocio dos centros de certificación que venden certificados baratos cun longo período de validez, ata 5 anos. Segundo Apple, a xeración deste tipo de certificados crea ameazas de seguridade adicionais, interfire coa rápida implementación de novos estándares criptográficos e permite aos atacantes controlar o tráfico da vítima durante moito tempo ou usalo para phishing en caso de fuga de certificados desapercibida. resultado do hackeo.
Fonte: opennet.ru