Net-Gewënn Zertifizéierung Zentrum , vun der Gemeinschaft kontrolléiert a jidderee gratis Zertifikater ubitt, iwwer d'Aféierung vun engem neie Schema fir d'Autoritéit ze bestätegen fir e Certificat fir eng Domain ze kréien. Kontaktéiert de Server, deen den "/.well-known/acme-challenge/" Verzeichnis, deen am Test benotzt gëtt, gëtt elo mat e puer HTTP-Ufroe geschéckt, déi vu 4 verschiddenen IP Adressen geschéckt ginn, déi a verschiddenen Datenzentere sinn a gehéieren zu verschiddenen autonomen Systemer. De Scheck gëtt als erfollegräich ugesinn nëmmen wann op d'mannst 3 vu 4 Ufroe vu verschiddenen IPen erfollegräich sinn.
Iwwerpréift vu verschiddenen Ënnernetzer erlaabt Iech d'Risiken ze minimiséieren fir Zertifikater fir auslännesch Domainen ze kréien andeems Dir geziilt Attacken ausféiert, déi de Traffic duerch d'Ersatzstéck vu fiktiven Strecken mat BGP ëmgeleet. Wann Dir e Multi-Positioun Verifizéierungssystem benotzt, muss en Ugräifer gläichzäiteg Wee Viruleedung fir verschidden autonom Systemer vu Providere mat verschiddenen Uplinks erreechen, wat vill méi schwéier ass wéi eng eenzeg Streck ze redirectéieren. Ufroe vu verschiddenen IPen ze schécken wäert och d'Zouverlässegkeet vum Scheck erhéijen am Fall wou eenzel Let's Encrypt Hosten an de Spärlëschten abegraff sinn (zum Beispill, an der Russescher Federatioun goufen e puer letsencrypt.org IPs vu Roskomnadzor blockéiert).
Bis den 1. Juni gëtt et eng Iwwergangsperiod, déi d'Generatioun vun Certificaten erlaabt no der erfollegräicher Verifizéierung vum primäre Rechenzentrum, wann de Host net erreechbar ass vun aneren Ënnernetzer (zum Beispill kann dat geschéien, wann den Host-Administrateur op der Firewall Ufroe erlaabt nëmmen aus den Haapt Let's Encrypt Datezentrum oder well Zone Synchroniséierung Violatioune an DNS). Baséierend op de Logbicher gëtt eng wäiss Lëscht virbereet fir Domainen déi Problemer hunn mat der Verifizéierung vun 3 zousätzlech Datenzenteren. Nëmmen Domainen mat ofgeschlossen Kontaktinformatioun ginn an der wäisser Lëscht abegraff. Wann d'Domain net automatesch an der wäiss Lëscht abegraff ass, kann eng Demande fir Raimlechkeeten och via .
De Moment huet de Let's Encrypt Projet 113 Milliounen Certificaten erausginn, déi ongeféier 190 Milliounen Domainen ofdecken (150 Milliounen Domänen goufen virun engem Joer ofgedeckt, an 61 Milliounen virun zwee Joer). Laut Statistike vum Firefox Telemetry Service ass de globale Undeel vun de Säitenfroen iwwer HTTPS 81% (virun engem Joer 77%, virun zwee Joer 69%), an an den USA - 91%.
Zousätzlech kann et bemierkt ginn Apple
Stop Vertrauen Zertifikater am Safari Browser deem seng Liewensdauer méi wéi 398 Deeg (13 Méint). D'Restriktioun ass geplangt nëmme fir Certificaten ausgestallt ze ginn ab dem 1. September 2020. Fir Certificaten mat enger laanger Validitéitszäit, déi virum September 1 kritt goufen, gëtt d'Vertraue behalen, awer limitéiert op 825 Deeg (2.2 Joer).
D'Ännerung kann negativ Auswierkungen op d'Geschäft vun Zertifizéierungszentren, déi bëlleg Certificaten mat enger laanger Validitéitsperiod verkafen, bis zu 5 Joer. Laut Apple erstellt d'Generatioun vun esou Certificaten zousätzlech Sécherheetsbedrohungen, interferéiert mat der séierer Ëmsetzung vun neie Krypto-Standarden an erlaabt Ugräifer de Traffic vum Affer fir eng laang Zäit ze kontrolléieren oder se fir Phishing am Fall vun engem onnotéierten Zertifika Leck als Resultat vum Hacking.
Source: opennet.ru