Ne pelno sertifikavimo centras , kontroliuojama bendruomenės ir nemokamai suteikia sertifikatus visiems, dėl naujos schemos, leidžiančios patvirtinti teisę gauti domeno sertifikatą. Susisiekimas su serveriu, kuriame yra teste naudojamas „/.well-known/acme-challenge/“ katalogas, dabar bus vykdomas naudojant kelias HTTP užklausas, siunčiamas iš 4 skirtingų IP adresų, esančių skirtinguose duomenų centruose ir priklausančių skirtingoms autonominėms sistemoms. Patikrinimas laikomas sėkmingu tik tuo atveju, jei bent 3 iš 4 užklausų iš skirtingų IP yra sėkmingos.
Tikrindami iš kelių potinklių galėsite sumažinti užsienio domenų sertifikatų gavimo riziką vykdant tikslines atakas, kurios nukreipia srautą pakeičiant fiktyvius maršrutus naudojant BGP. Naudodamas kelių pozicijų tikrinimo sistemą, užpuolikas turės vienu metu pasiekti kelių autonominių tiekėjų sistemų, turinčių skirtingas aukštyn nuorodas, maršruto peradresavimą, o tai yra daug sunkiau nei vieno maršruto nukreipimas. Užklausų siuntimas iš skirtingų IP taip pat padidins patikros patikimumą tuo atveju, jei į blokavimo sąrašus būtų įtraukti pavieniai „Let's Encrypt“ kompiuteriai (pavyzdžiui, Rusijos Federacijoje kai kuriuos letsencrypt.org IP užblokavo Roskomnadzor).
Iki birželio 1 d. bus taikomas pereinamasis laikotarpis, leidžiantis generuoti sertifikatus sėkmingai patvirtinus iš pirminio duomenų centro, jei pagrindinis kompiuteris nepasiekiamas iš kitų potinklių (pavyzdžiui, taip gali nutikti, jei prieglobos administratorius užkardoje leido užklausas tik iš pagrindinį Užšifruokime duomenų centrą arba dėl zonų sinchronizavimo pažeidimų DNS). Remiantis žurnalais, bus sudarytas baltasis sąrašas domenams, kurie turi problemų su patvirtinimu iš 3 papildomų duomenų centrų. Į baltąjį sąrašą bus įtraukti tik domenai su užpildyta kontaktine informacija. Jei domenas automatiškai nepatenka į baltąjį sąrašą, paraišką patalpoms gauti galima siųsti ir per .
Šiuo metu projektas „Užšifruokime“ yra išdavęs 113 milijonų sertifikatų, apimančių apie 190 milijonų domenų (prieš metus buvo padengta 150 milijonų domenų, prieš dvejus – 61 milijonas). Remiantis „Firefox Telemetry“ tarnybos statistika, pasaulinė puslapių užklausų per HTTPS dalis yra 81% (prieš metus 77%, prieš dvejus metus 69%), o JAV – 91%.
Be to, galima pažymėti Apple
Nustokite pasitikėti „Safari“ naršyklės sertifikatais, kurių gyvavimo laikas viršija 398 dienas (13 mėnesių). Apribojimą planuojama įvesti tik nuo 1 metų rugsėjo 2020 dienos išduodamiems pažymėjimams. Ilgo galiojimo sertifikatų, gautų iki rugsėjo 1 d., pasitikėjimas bus išlaikytas, tačiau apribotas iki 825 dienų (2.2 metų).
Pakeitimas gali neigiamai paveikti sertifikavimo centrų, parduodančių pigius sertifikatus, kurių galiojimo laikas – iki 5 metų, veiklą. „Apple“ teigimu, tokių sertifikatų generavimas sukuria papildomų saugumo grėsmių, trukdo sparčiai diegti naujus kriptovaliutų standartus ir leidžia užpuolikams ilgą laiką kontroliuoti aukos srautą arba panaudoti jį sukčiavimui nepastebėto sertifikato nutekėjimo atveju. įsilaužimo rezultatas.
Šaltinis: opennet.ru