Коммерциялық емес сертификаттау орталығы қоғамдастық бақылайды және сертификаттарды барлығына тегін береді, доменге сертификат алу өкілеттігін растаудың жаңа схемасын енгізу туралы. Сынақта пайдаланылған «/.well-known/acme-challenge/» каталогын орналастыратын сервермен байланысу енді әртүрлі деректер орталықтарында орналасқан және әртүрлі автономды жүйелерге жататын 4 түрлі IP мекенжайларынан жіберілген бірнеше HTTP сұраулары арқылы жүзеге асырылады. Тексеру әр түрлі IP мекенжайларынан келген 3 сұраудың кемінде 4-еуі сәтті болған жағдайда ғана сәтті болып саналады.
Бірнеше ішкі желілерден тексеру BGP көмегімен жалған маршруттарды ауыстыру арқылы трафикті қайта бағыттайтын мақсатты шабуылдар жасау арқылы шетелдік домендерге сертификаттар алу тәуекелдерін азайтуға мүмкіндік береді. Көп позициялық тексеру жүйесін пайдаланған кезде, шабуылдаушыға бір уақытта әртүрлі жоғары байланысы бар провайдерлердің бірнеше автономды жүйелері үшін бағытты қайта бағыттауға қол жеткізу қажет болады, бұл бір бағытты қайта бағыттаудан әлдеқайда қиын. Әртүрлі IP мекенжайларынан сұрауларды жіберу бір Let's Encrypt хосттары блоктау тізімдеріне енгізілген жағдайда тексерудің сенімділігін арттырады (мысалы, Ресей Федерациясында кейбір letsencrypt.org IP мекенжайларын Роскомнадзор бұғаттады).
1 маусымға дейін, егер хост басқа ішкі желілерден қолжетімсіз болса, бастапқы деректер орталығынан сәтті тексерілгеннен кейін сертификаттарды жасауға мүмкіндік беретін өтпелі кезең болады (мысалы, брандмауэрдегі хост әкімшісі тек сұрауларға рұқсат берген жағдайда бұл орын алуы мүмкін. негізгі Let's Encrypt деректер орталығы немесе DNS жүйесінде аймақты синхрондау бұзылғандықтан). Журналдар негізінде 3 қосымша деректер орталығынан тексеруде проблемалары бар домендер үшін ақ тізім дайындалады. Тек толтырылған байланыс ақпараты бар домендер ақ тізімге енгізіледі. Егер домен ақ тізімге автоматты түрде қосылмаса, үй-жайға арналған өтінімді де арқылы жіберуге болады .
Қазіргі уақытта Let's Encrypt жобасы шамамен 113 миллион доменді қамтитын 190 миллион сертификат шығарды (150 миллион домен бір жыл бұрын, ал 61 миллион екі жыл бұрын қамтылған). Firefox Telemetry қызметінің статистикасы бойынша HTTPS арқылы бет сұрауларының жаһандық үлесі 81% (бір жыл бұрын 77%, екі жыл бұрын 69%), ал АҚШ-та 91% құрайды.
Бұған қоса, атап өтуге болады Алма
Пайдалану мерзімі 398 күннен (13 ай) асатын Safari браузеріндегі сертификаттарға сенуді тоқтатыңыз. Шектеу 1 жылдың 2020 қыркүйегінен бастап берілетін сертификаттарға ғана енгізіледі деп жоспарлануда. 1 қыркүйекке дейін алынған жарамдылық мерзімі ұзақ сертификаттар үшін сенім сақталады, бірақ 825 күнмен (2.2 жыл) шектеледі.
Өзгеріс жарамдылық мерзімі ұзақ, 5 жылға дейін арзан сертификаттарды сататын сертификаттау орталықтарының бизнесіне кері әсер етуі мүмкін. Apple компаниясының пікірінше, мұндай сертификаттарды жасау қосымша қауіпсіздік қатерлерін тудырады, жаңа криптографиялық стандарттарды жылдам енгізуге кедергі келтіреді және шабуылдаушыларға жәбірленушінің трафигін ұзақ уақыт бойы бақылауға немесе байқамай қалған сертификаттың ағып кетуі жағдайында оны фишинг үшін пайдалануға мүмкіндік береді. бұзудың нәтижесі.
Ақпарат көзі: opennet.ru