Pusat sertifikasi nirlaba , dikontrol dening masyarakat lan menehi sertifikat gratis kanggo kabeh wong, babagan introduksi skema anyar kanggo konfirmasi wewenang kanggo entuk sertifikat kanggo domain. Hubungi server sing dadi tuan rumah direktori "/. well-known/acme-challenge/" sing digunakake ing tes saiki bakal ditindakake kanthi nggunakake sawetara panjalukan HTTP sing dikirim saka 4 alamat IP sing beda-beda sing ana ing pusat data sing beda-beda lan kalebu sistem otonom sing beda. Priksa kasebut dianggep sukses mung yen paling ora 3 saka 4 panjalukan saka macem-macem IP kasil.
Priksa saka sawetara subnet bakal ngidini sampeyan nyilikake risiko entuk sertifikat kanggo domain asing kanthi nindakake serangan sing ditargetake sing ngarahake lalu lintas liwat substitusi rute fiktif nggunakake BGP. Nalika nggunakake sistem verifikasi multi-posisi, panyerang kudu kanthi bebarengan entuk pangalihan rute kanggo sawetara sistem otonomi panyedhiya kanthi uplink sing beda, sing luwih angel tinimbang ngarahake rute siji. Ngirim panjalukan saka macem-macem IP uga bakal nambah linuwih saka mriksa ing acara sing siji Ayo Encrypt sarwa dumadi ing dhaftar pamblokiran (contone, ing Federasi Rusia, sawetara IP letsencrypt.org diblokir dening Roskomnadzor).
Nganti 1 Juni, bakal ana periode transisi sing ngidini nggawe sertifikat nalika verifikasi sukses saka pusat data utama, yen host ora bisa digayuh saka subnet liyane (contone, iki bisa kedadeyan yen administrator host ing firewall ngidini panjaluk mung saka pusat data Ayo Encrypt utama utawa amarga pelanggaran sinkronisasi zona ing DNS). Adhedhasar log, dhaptar putih bakal disiapake kanggo domain sing duwe masalah karo verifikasi saka 3 pusat data tambahan. Mung domain karo informasi kontak lengkap bakal kalebu ing dhaftar putih. Yen domain ora otomatis kalebu ing dhaftar putih, aplikasi kanggo panggonan uga bisa dikirim liwat .
Saiki, proyek Let's Encrypt wis ngetokake 113 yuta sertifikat, nyakup udakara 190 yuta domain (150 yuta domain dilindhungi setahun kepungkur, lan 61 yuta rong taun kepungkur). Miturut statistik saka layanan Firefox Telemetry, pangsa global panjalukan kaca liwat HTTPS yaiku 81% (setaun kepungkur 77%, rong taun kepungkur 69%), lan ing AS - 91%.
Kajaba iku, bisa dicathet Apple
Mungkasi sertifikat ing browser Safari sing umure ngluwihi 398 dina (13 sasi). Watesan kasebut direncanakake mung kanggo sertifikat sing diterbitake wiwit 1 September 2020. Kanggo sertifikat kanthi wektu validitas dawa sing ditampa sadurunge 1 September, kapercayan bakal ditahan, nanging diwatesi nganti 825 dina (2.2 taun).
Owah-owahan kasebut bisa mengaruhi bisnis pusat sertifikasi sing adol sertifikat murah kanthi wektu validitas sing dawa, nganti 5 taun. Miturut Apple, generasi sertifikat kasebut nggawe ancaman keamanan tambahan, ngganggu implementasi standar crypto anyar kanthi cepet, lan ngidini panyerang bisa ngontrol lalu lintas korban ing wektu sing suwe utawa nggunakake aplikasi kasebut kanggo phishing yen ana bocor sertifikat sing ora dingerteni. asil saka hacking.
Source: opennet.ru