Non-profit tanúsító központ a közösség által ellenőrzött és mindenki számára ingyenes tanúsítványt biztosít, a domain tanúsítvány megszerzésére vonatkozó jogosultság megerősítésére szolgáló új rendszer bevezetéséről. A tesztben használt „/.well-known/acme-challenge/” könyvtárat kiszolgáló szerverrel való kapcsolatfelvétel mostantól több HTTP-kéréssel történik, amelyeket 4 különböző IP-címről küldenek, amelyek különböző adatközpontokban találhatók és különböző autonóm rendszerekhez tartoznak. Az ellenőrzés csak akkor tekinthető sikeresnek, ha a különböző IP-címekről érkező 3 kérésből legalább 4 sikeres.
A több alhálózatról történő ellenőrzés lehetővé teszi, hogy minimálisra csökkentse az idegen tartományokhoz tartozó tanúsítványok megszerzésének kockázatát azáltal, hogy célzott támadásokat hajt végre, amelyek átirányítják a forgalmat a fiktív útvonalak BGP-vel történő helyettesítésével. Többpozíciós ellenőrző rendszer használatakor a támadónak egyszerre kell útvonal-átirányítást elérnie a különböző felfelé irányuló kapcsolatokkal rendelkező szolgáltatók több autonóm rendszeréhez, ami sokkal nehezebb, mint egyetlen útvonal átirányítása. A különböző IP-címekről érkező kérések elküldése növeli az ellenőrzés megbízhatóságát abban az esetben is, ha egyetlen Let's Encrypt gazdagép szerepel a blokkolási listákon (például az Orosz Föderációban a Roszkomnadzor blokkolt néhány letsencrypt.org IP-címet).
Június 1-ig lesz egy átmeneti időszak, amely lehetővé teszi a tanúsítványok generálását az elsődleges adatközpontból történő sikeres ellenőrzés után, ha a gazdagép nem érhető el más alhálózatokról (például ez akkor fordulhat elő, ha a tűzfalon lévő gazdagép rendszergazdája csak a fő Let's Encrypt adatközpont vagy a DNS zónaszinkronizálási megsértése miatt). A naplók alapján fehér lista készül azokról a domainekről, amelyeknek 3 további adatközpontból történő ellenőrzése gondot okoz. Csak a kitöltött elérhetőségi adatokkal rendelkező domainek szerepelnek a fehér listán. Ha a domain nem kerül automatikusan a fehérlistára, akkor ezen keresztül is lehet telephelyre vonatkozó kérelmet küldeni .
Jelenleg a Let's Encrypt projekt 113 millió tanúsítványt adott ki, amelyek körülbelül 190 millió tartományra vonatkoznak (egy éve 150 millió, két éve 61 millió tartomány volt lefedve). A Firefox Telemetry szolgáltatás statisztikái szerint a HTTPS-en keresztüli oldallekérések globális aránya 81% (egy évvel ezelőtt 77%, két éve 69%), az Egyesült Államokban pedig 91%.
Ezenkívül meg lehet jegyezni alma
Ne bízzon többé azokban a tanúsítványokban a Safari böngészőben, amelyek élettartama meghaladja a 398 napot (13 hónapot). A korlátozást csak a 1. szeptember 2020-jétől kibocsátott tanúsítványokra tervezik bevezetni. A szeptember 1. előtt kapott hosszú érvényességi idejű tanúsítványok esetében a bizalom megmarad, de 825 napra (2.2 évre) korlátozva.
A változás negatívan érintheti az olcsó, hosszú, akár 5 éves érvényességi idejű tanúsítványokat árusító tanúsító központok tevékenységét. Az Apple szerint az ilyen tanúsítványok generálása további biztonsági fenyegetéseket jelent, megzavarja az új kriptográfiai szabványok gyors bevezetését, és lehetővé teszi a támadók számára, hogy észrevétlen tanúsítványkiszivárgás esetén hosszú ideig irányítsák az áldozat forgalmát, vagy adathalászatra használják fel. hackelés eredménye.
Forrás: opennet.ru