Neprofitni certifikacijski centar , pod kontrolom zajednice i pružanje certifikata besplatno svima, o uvođenju nove sheme potvrđivanja ovlasti za dobivanje certifikata za domenu. Kontaktiranje poslužitelja koji hostira direktorij “/.well-known/acme-challenge/” korišten u testu sada će se provoditi pomoću nekoliko HTTP zahtjeva poslanih s 4 različite IP adrese koje se nalaze u različitim podatkovnim centrima i pripadaju različitim autonomnim sustavima. Provjera se smatra uspješnom samo ako su barem 3 od 4 zahtjeva s različitih IP adresa uspješna.
Provjera iz nekoliko podmreža omogućit će vam da minimizirate rizike dobivanja certifikata za strane domene izvođenjem ciljanih napada koji preusmjeravaju promet zamjenom fiktivnih ruta pomoću BGP-a. Kada koristi sustav verifikacije s više pozicija, napadač će morati istovremeno postići preusmjeravanje rute za nekoliko autonomnih sustava pružatelja usluga s različitim uplinkovima, što je puno teže od preusmjeravanja jedne rute. Slanje zahtjeva s različitih IP adresa također će povećati pouzdanost provjere u slučaju da su pojedinačni Let's Encrypt hostovi uključeni u popise za blokiranje (na primjer, u Ruskoj Federaciji Roskomnadzor je blokirao neke IP adrese letsencrypt.org).
Do 1. lipnja postojat će prijelazno razdoblje koje dopušta generiranje certifikata nakon uspješne provjere iz primarnog podatkovnog centra, ako je host nedostupan s drugih podmreža (na primjer, to se može dogoditi ako je administrator hosta na vatrozidu dopustio zahtjeve samo iz glavni Let's Encrypt podatkovni centar ili zbog kršenja sinkronizacije zone u DNS-u). Na temelju zapisa bit će pripremljena bijela lista za domene koje imaju problema s verifikacijom iz 3 dodatna podatkovna centra. Samo domene s ispunjenim kontakt podacima bit će uključene u bijeli popis. Ako domena nije automatski uvrštena na bijelu listu, zahtjev za poslovni prostor može se poslati i putem .
Trenutno je projekt Let's Encrypt izdao 113 milijuna certifikata koji pokrivaju oko 190 milijuna domena (prije godinu dana pokriveno je 150 milijuna domena, a prije dvije godine 61 milijun). Prema statistici usluge Firefox Telemetry, globalni udio zahtjeva stranica putem HTTPS-a je 81% (prije godinu dana 77%, prije dvije godine 69%), au SAD-u - 91%.
Osim toga, može se primijetiti Jabuka
Prestanite vjerovati certifikatima u pregledniku Safari čiji životni vijek prelazi 398 dana (13 mjeseci). Ograničenje se planira uvesti samo za certifikate izdane od 1. rujna 2020. godine. Za certifikate s dugim rokom valjanosti primljene prije 1. rujna, povjerenje će se zadržati, ali ograničeno na 825 dana (2.2 godine).
Promjena može negativno utjecati na poslovanje certifikacijskih centara koji prodaju jeftine certifikate s dugim rokom valjanosti, do 5 godina. Prema Appleu, generiranje takvih certifikata stvara dodatne sigurnosne prijetnje, ometa brzu implementaciju novih kripto standarda i omogućuje napadačima da dugo vremena kontroliraju promet žrtve ili ga koriste za krađu identiteta u slučaju nezapaženog curenja certifikata kao rezultat hakiranja.
Izvor: opennet.ru