Ոչ առևտրային հավաստագրման կենտրոն համայնքի կողմից վերահսկվող և բոլորին անվճար վկայականներ տրամադրելով, տիրույթի համար վկայական ստանալու իրավասությունը հաստատող նոր սխեմայի ներդրման վերաբերյալ։ Թեստում օգտագործվող «/.well-known/acme-challenge/» գրացուցակը հյուրընկալող սերվերի հետ կապն այժմ կիրականացվի մի քանի HTTP հարցումների միջոցով, որոնք ուղարկված են 4 տարբեր IP հասցեներից, որոնք տեղակայված են տվյալների տարբեր կենտրոններում և պատկանում են տարբեր ինքնավար համակարգերին: Ստուգումը հաջողված է համարվում միայն այն դեպքում, եթե տարբեր IP-ների 3 հարցումներից առնվազն 4-ը հաջողված են:
Մի քանի ենթացանցերից ստուգումը թույլ կտա նվազագույնի հասցնել օտարերկրյա տիրույթների համար վկայականներ ձեռք բերելու ռիսկերը՝ նպատակաուղղված հարձակումներ իրականացնելով, որոնք վերահղում են երթևեկը՝ BGP-ի միջոցով ֆիկտիվ երթուղիների փոխարինման միջոցով: Բազմակի դիրքերի ստուգման համակարգ օգտագործելիս հարձակվողը պետք է միաժամանակ հասնի երթուղու վերահղման տարբեր վերընթաց կապերով պրովայդերների մի քանի ինքնավար համակարգերի համար, ինչը շատ ավելի դժվար է, քան մեկ երթուղու վերահղումը: Տարբեր IP-ներից հարցումներ ուղարկելը նաև կբարձրացնի ստուգման հուսալիությունը, եթե միայն Let's Encrypt հոսթերը ներառվեն արգելափակման ցուցակներում (օրինակ, Ռուսաստանի Դաշնությունում letsencrypt.org-ի որոշ IP-ներ արգելափակվել են Ռոսկոմնադզորի կողմից):
Մինչև հունիսի 1-ը կգործի անցումային շրջան, որը թույլ կտա սերտիֆիկատներ ստեղծել առաջնային տվյալների կենտրոնից հաջող ստուգումից հետո, եթե հոսթն անհասանելի է այլ ենթացանցերից (օրինակ, դա կարող է տեղի ունենալ, եթե firewall-ի հոսթ ադմինիստրատորը թույլ է տալիս հարցումներ կատարել միայն հիմնական Եկեք գաղտնագրենք տվյալների կենտրոնը կամ DNS-ում գոտիների համաժամացման խախտումների պատճառով): Տեղեկամատյանների հիման վրա սպիտակ ցուցակ կպատրաստվի այն տիրույթների համար, որոնք խնդիրներ ունեն ստուգման հետ կապված 3 լրացուցիչ տվյալների կենտրոններից։ Սպիտակ ցուցակում կներառվեն միայն լրացված կոնտակտային տվյալներ ունեցող տիրույթները: Եթե տիրույթը ավտոմատ կերպով ներառված չէ սպիտակ ցուցակում, ապա տարածքների համար դիմում կարող է ուղարկվել նաև միջոցով .
Ներկայումս Let's Encrypt նախագիծը թողարկել է 113 միլիոն վկայական՝ ընդգրկելով մոտ 190 միլիոն տիրույթ (150 միլիոն տիրույթ ծածկված էր մեկ տարի առաջ, իսկ 61 միլիոնը՝ երկու տարի առաջ)։ Firefox Telemetry ծառայության վիճակագրության համաձայն՝ HTTPS-ի միջոցով էջերի հարցումների համաշխարհային մասնաբաժինը կազմում է 81% (մեկ տարի առաջ՝ 77%, երկու տարի առաջ՝ 69%), իսկ ԱՄՆ-ում՝ 91%։
Բացի այդ, կարելի է նշել Apple
Դադարեցրեք վստահել վկայագրերին Safari դիտարկիչում, որոնց ժամկետը գերազանցում է 398 օրը (13 ամիսը): Սահմանափակումը նախատեսվում է մտցնել միայն 1 թվականի սեպտեմբերի 2020-ից տրված վկայականների համար։ Մինչև սեպտեմբերի 1-ը ստացված երկար վավերականության ժամկետ ունեցող վկայականների համար վստահությունը կպահպանվի, բայց սահմանափակվում է 825 օրով (2.2 տարի):
Փոփոխությունը կարող է բացասաբար անդրադառնալ սերտիֆիկացման կենտրոնների բիզնեսի վրա, որոնք վաճառում են էժան սերտիֆիկատներ երկար գործողության ժամկետով՝ մինչև 5 տարի։ Ըստ Apple-ի, նման սերտիֆիկատների ստեղծումը լրացուցիչ սպառնալիքներ է ստեղծում անվտանգության համար, խոչընդոտում է նոր կրիպտո ստանդարտների արագ ներդրմանը և հարձակվողներին թույլ է տալիս երկար ժամանակ վերահսկել զոհի երթևեկությունը կամ օգտագործել այն ֆիշինգի համար՝ վկայագրի աննկատ արտահոսքի դեպքում: հաքերային հարձակման հետևանք։
Source: opennet.ru