Коммерциялык эмес сертификация борбору , коомчулук тарабынан көзөмөлдөнөт жана сертификаттарды бардыгына акысыз берүү, доменге сертификат алууга ыйгарым укуктарды тастыктоочу жаңы схеманы киргизүү жөнүндө. Сыноодо колдонулган “/.well-known/acme-challenge/” каталогун камтыган сервер менен байланышуу эми ар кандай маалымат борборлорунда жайгашкан жана ар түрдүү автономдуу системаларга таандык 4 башка IP даректерден жөнөтүлгөн бир нече HTTP сурамдары аркылуу ишке ашырылат. Ар кандай IPлерден келген 3 суроонун 4төн кем эмеси ийгиликтүү болгон учурда гана текшерүү ийгиликтүү деп эсептелет.
Бир нече субсеттерден текшерүү BGP аркылуу жасалма маршруттарды алмаштыруу аркылуу трафикти багыттоочу максаттуу чабуулдарды жүргүзүү аркылуу чет өлкөлүк домендер үчүн сертификаттарды алуу тобокелдиктерин минималдаштырууга мүмкүндүк берет. Көп позициялуу текшерүү тутумун колдонууда чабуулчу бир эле учурда ар кандай өйдө шилтемелери бар провайдерлердин бир нече автономдуу системалары үчүн маршрутту кайра багыттоого жетишүүсү керек болот, бул бир маршрутту кайра багыттоого караганда алда канча кыйын. Ар кандай IP даректеринен суроо-талаптарды жөнөтүү, ошондой эле бир Let's Encrypt хосттору бөгөттөө тизмелерине кирген учурда текшерүүнүн ишенимдүүлүгүн жогорулатат (мисалы, Россия Федерациясында letsencrypt.org IP даректери Роскомнадзор тарабынан бөгөттөлгөн).
1-июнга чейин, эгерде хост башка ички тармактардан жеткиликсиз болсо, баштапкы маалымат борборунан ийгиликтүү текшерүүдөн кийин сертификаттарды генерациялоого мүмкүндүк берүүчү өткөөл мезгил болот (мисалы, брандмауэрдеги хосттун администратору төмөнкүдөн гана сурамдарды кабыл алууга уруксат берсе, мындай болушу мүмкүн. негизги Let's Encrypt маалымат борбору же DNSте зона синхрондоштуруу бузулгандыктан). Журналдардын негизинде 3 кошумча маалымат борборлорунан текшерүүдө көйгөйлөрү бар домендер үчүн ак тизме түзүлөт. Толтурулган байланыш маалыматы бар домендер гана ак тизмеге киргизилет. Эгер домен автоматтык түрдө ак тизмеге кирбесе, жайга арыз да аркылуу жөнөтүлүшү мүмкүн .
Учурда Let's Encrypt долбоору 113 миллионго жакын доменди камтыган 190 миллион сертификат чыгарды (150 миллион домен бир жыл мурун, 61 миллион эки жыл мурун камтылган). Firefox Telemetry сервисинин статистикасына ылайык, HTTPS аркылуу барак суроо-талаптарынын дүйнөлүк үлүшү 81% (бир жыл мурун 77%, эки жыл мурун 69%), ал эми АКШда 91% түзөт.
Мындан тышкары, белгилей кетүү керек Apple
Safari браузеринде иштөө мөөнөтү 398 күндөн (13 ай) ашкан сертификаттарга ишенүүнү токтотуңуз. Чектөө 1-жылдын 2020-сентябрынан тартып берилүүчү сертификаттарга гана киргизилиши пландалууда. 1-сентябрга чейин жарактуулук мөөнөтү узак сертификаттар үчүн ишеним сакталат, бирок 825 күн (2.2 жыл) менен чектелет.
Өзгөртүү жарактуулук мөөнөтү узак, 5 жылга чейин арзан сертификаттарды саткан сертификация борборлорунун бизнесине терс таасирин тийгизиши мүмкүн. Apple компаниясынын айтымында, мындай сертификаттардын жаралышы кошумча коопсуздук коркунучтарын жаратат, жаңы крипто-стандартты тез киргизүүгө тоскоол болот жана чабуулчуларга жабырлануучунун трафигин узак убакытка көзөмөлдөөгө же аны фишинг үчүн колдонууга мүмкүндүк берет. хакерликтин натыйжасы.
Source: opennet.ru