Centro di certificazione senza scopo di lucro , controllato dalla comunità e che fornisce certificati gratuitamente a tutti, sull'introduzione di un nuovo schema per la conferma dell'autorità per ottenere un certificato per un dominio. Il contatto con il server che ospita la directory “/.well-known/acme-challenge/” utilizzata nel test verrà ora effettuato utilizzando diverse richieste HTTP inviate da 4 diversi indirizzi IP situati in diversi data center e appartenenti a diversi sistemi autonomi. Il controllo si considera positivo solo se almeno 3 richieste su 4 provenienti da IP diversi vanno a buon fine.
Il controllo da più sottoreti consentirà di ridurre al minimo i rischi di ottenere certificati per domini stranieri effettuando attacchi mirati che reindirizzano il traffico attraverso la sostituzione di percorsi fittizi utilizzando BGP. Quando si utilizza un sistema di verifica multiposizione, un utente malintenzionato dovrà ottenere simultaneamente il reindirizzamento del percorso per diversi sistemi autonomi di fornitori con diversi uplink, il che è molto più difficile che reindirizzare un singolo percorso. L'invio di richieste da IP diversi aumenterà anche l'affidabilità del controllo nel caso in cui singoli host Let's Encrypt siano inclusi nelle liste di blocco (ad esempio, nella Federazione Russa, alcuni IP di letsencrypt.org sono stati bloccati da Roskomnadzor).
Fino al 1 giugno è previsto un periodo di transizione che consentirà la generazione di certificati previa verifica positiva da parte del data center primario, nel caso in cui l'host sia irraggiungibile da altre sottoreti (ad esempio, ciò può accadere se l'amministratore dell'host sul firewall consente richieste solo da il principale data center Let's Encrypt o a causa di violazioni della sincronizzazione delle zone nel DNS). Sulla base dei log verrà preparata una white list per i domini che hanno problemi con la verifica da 3 data center aggiuntivi. Solo i domini con le informazioni di contatto complete verranno inclusi nella lista bianca. Se il dominio non viene incluso automaticamente nella white list, è possibile inviare una richiesta di sede anche tramite .
Attualmente, il progetto Let's Encrypt ha emesso 113 milioni di certificati, coprendo circa 190 milioni di domini (150 milioni di domini erano coperti un anno fa e 61 milioni due anni fa). Secondo le statistiche del servizio Firefox Telemetry, la quota globale di richieste di pagine tramite HTTPS è dell'81% (un anno fa 77%, due anni fa 69%) e negli Stati Uniti - 91%.
Inoltre si può notare Mela
Non considerare più attendibili i certificati nel browser Safari la cui durata supera i 398 giorni (13 mesi). Si prevede che la restrizione venga introdotta solo per i certificati emessi a partire dal 1° settembre 2020. Per i certificati con un lungo periodo di validità ricevuti prima del 1 settembre, la fiducia verrà mantenuta, ma limitata a 825 giorni (2.2 anni).
Il cambiamento potrebbe influenzare negativamente l'attività dei centri di certificazione che vendono certificati economici con un lungo periodo di validità, fino a 5 anni. Secondo Apple, la generazione di tali certificati crea ulteriori minacce alla sicurezza, interferisce con la rapida implementazione di nuovi standard crittografici e consente agli aggressori di controllare a lungo il traffico della vittima o di utilizzarlo per phishing in caso di fuga di certificati inosservata. un risultato dell'hacking.
Fonte: opennet.ru