Bezpeļņas sertifikācijas centrs , ko kontrolē sabiedrība un kas nodrošina sertifikātus bez maksas ikvienam, par jaunas shēmas ieviešanu, lai apstiprinātu pilnvaras iegūt domēna sertifikātu. Sazināšanās ar serveri, kas mitina testā izmantoto direktoriju “/.well-known/acme-challenge/”, tagad tiks veikta, izmantojot vairākus HTTP pieprasījumus, kas nosūtīti no 4 dažādām IP adresēm, kas atrodas dažādos datu centros un pieder dažādām autonomām sistēmām. Pārbaude tiek uzskatīta par veiksmīgu tikai tad, ja vismaz 3 no 4 pieprasījumiem no dažādiem IP ir veiksmīgi.
Pārbaude no vairākiem apakštīkliem ļaus jums samazināt risku iegūt sertifikātus ārvalstu domēniem, veicot mērķtiecīgus uzbrukumus, kas novirza trafiku, aizstājot fiktīvus maršrutus, izmantojot BGP. Izmantojot vairāku pozīciju verifikācijas sistēmu, uzbrucējam vienlaikus būs jāpanāk maršruta novirzīšana vairākām autonomām pakalpojumu sniedzēju sistēmām ar dažādām augšupsaitēm, kas ir daudz grūtāk nekā viena maršruta novirzīšana. Pieprasījumu sūtīšana no dažādiem IP palielinās arī pārbaudes uzticamību gadījumā, ja bloķēšanas sarakstos ir iekļauti atsevišķi Let's Encrypt saimnieki (piemēram, Krievijas Federācijā Roskomnadzor bloķēja dažus letsencrypt.org IP).
Līdz 1. jūnijam būs pārejas periods, kas ļaus ģenerēt sertifikātus pēc veiksmīgas verifikācijas no primārā datu centra, ja resursdators nav sasniedzams no citiem apakštīkliem (piemēram, tas var notikt, ja resursdatora administrators ugunsmūrī atļāva pieprasījumus tikai no plkst. galvenais Let's Encrypt datu centrs vai zonas sinhronizācijas pārkāpumi DNS). Pamatojoties uz žurnāliem, tiks sagatavots baltais saraksts domēniem, kuriem ir problēmas ar verifikāciju no 3 papildu datu centriem. Baltajā sarakstā tiks iekļauti tikai domēni ar aizpildītu kontaktinformāciju. Ja domēns netiek automātiski iekļauts baltajā sarakstā, pieteikumu par telpām var nosūtīt arī caur .
Šobrīd projekts Let's Encrypt ir izsniedzis 113 miljonus sertifikātu, kas aptver aptuveni 190 miljonus domēnu (pirms gada tika segti 150 miljoni domēnu, bet pirms diviem gadiem – 61 miljons). Saskaņā ar Firefox Telemetry pakalpojuma statistiku, globālā lapu pieprasījumu daļa, izmantojot HTTPS, ir 81% (pirms gada 77%, pirms diviem gadiem 69%), bet ASV - 91%.
Turklāt var atzīmēt Apple
Pārtrauciet uzticēšanos Safari pārlūkprogrammas sertifikātiem, kuru kalpošanas laiks pārsniedz 398 dienas (13 mēnešus). Ierobežojumu plānots ieviest tikai sertifikātiem, kas izsniegti, sākot ar 1.gada 2020.septembri. Sertifikātiem ar ilgu derīguma termiņu, kas saņemti pirms 1. septembra, uzticība tiks saglabāta, bet ierobežota līdz 825 dienām (2.2 gadi).
Izmaiņas var negatīvi ietekmēt to sertifikācijas centru darbību, kuri pārdod lētus sertifikātus ar ilgu derīguma termiņu, līdz 5 gadiem. Pēc Apple domām, šādu sertifikātu ģenerēšana rada papildu drošības apdraudējumus, traucē jaunu kriptogrāfijas standartu ātru ieviešanu un ļauj uzbrucējiem ilgstoši kontrolēt upura trafiku vai izmantot to pikšķerēšanai nepamanītas sertifikāta noplūdes gadījumā kā uzlaušanas rezultāts.
Avots: opennet.ru