Ашгийн бус гэрчилгээжүүлэх төв , олон нийтийн хяналтад байгаа бөгөөд гэрчилгээг хүн бүрт үнэ төлбөргүй олгох, домэйны гэрчилгээ авах эрхийг баталгаажуулах шинэ схемийг нэвтрүүлэх талаар. Туршилтанд ашигласан “/.well-known/acme-challenge/” лавлахыг байршуулсан сервертэй холбогдох нь одоо өөр өөр мэдээллийн төвд байрладаг, өөр өөр автономит системд хамаарах 4 өөр IP хаягаас илгээсэн хэд хэдэн HTTP хүсэлтийг ашиглан хийгдэх болно. Өөр өөр IP хаягуудаас ирсэн 3 хүсэлтийн 4-аас доошгүй нь амжилттай болсон тохиолдолд шалгалт амжилттай болсон гэж үзнэ.
Хэд хэдэн дэд сүлжээнүүдээс шалгах нь BGP ашиглан зохиомол маршрутуудыг орлуулах замаар урсгалыг чиглүүлдэг зорилтот халдлага үйлдэх замаар гадаадын домэйны гэрчилгээ авах эрсдэлийг багасгах боломжийг олгоно. Олон байрлалын баталгаажуулалтын системийг ашиглах үед халдагчид өөр өөр холболттой үйлчилгээ үзүүлэгчийн хэд хэдэн бие даасан системд чиглүүлэлтийг нэгэн зэрэг хийх шаардлагатай бөгөөд энэ нь нэг чиглэлийг дахин чиглүүлэхээс хамаагүй хэцүү юм. Өөр өөр IP хаягуудаас хүсэлт илгээх нь ганц Let's Encrypt хостууд хаах жагсаалтад орсон тохиолдолд шалгалтын найдвартай байдлыг нэмэгдүүлэх болно (жишээлбэл, ОХУ-д letsencrypt.org IP хаягийг Роскомнадзор хаасан).
1-р сарын 3 хүртэл, хэрэв хост бусад дэд сүлжээнээс холбогдох боломжгүй бол үндсэн өгөгдлийн төвөөс амжилттай баталгаажуулсны дараа гэрчилгээ үүсгэх шилжилтийн үе байх болно (жишээлбэл, галт ханын хостын администратор зөвхөн дараахаас хүсэлт хүлээн авахыг зөвшөөрсөн тохиолдолд энэ нь тохиолдож болно. үндсэн Let's Encrypt өгөгдлийн төв эсвэл DNS дахь бүсийн синхрончлолын зөрчил). Бүртгэлүүд дээр үндэслэн нэмэлт XNUMX дата төвөөс баталгаажуулахад асуудалтай байгаа домэйнуудын цагаан жагсаалтыг гаргах болно. Зөвхөн бөглөсөн холбоо барих мэдээлэл бүхий домэйнууд цагаан жагсаалтад багтах болно. Хэрэв домэйн цагаан жагсаалтад автоматаар ороогүй бол байрны өргөдлийг мөн дамжуулан илгээж болно .
Одоогийн байдлаар Let's Encrypt төсөл нь 113 сая орчим домэйн (жилийн өмнө 190 сая, хоёр жилийн өмнө 150 сая домайн хамрагдсан) хамрагдсан 61 сая гэрчилгээ олгосон байна. Firefox Telemetry үйлчилгээний статистик мэдээгээр HTTPS-ээр дамжуулан хуудасны хүсэлтийн дэлхийн эзлэх хувь 81% (жилийн өмнө 77%, хоёр жилийн өмнө 69%), АНУ-д 91% байна.
Нэмж дурдахад үүнийг тэмдэглэж болно алим
Safari хөтчийн ашиглалтын хугацаа 398 хоногоос (13 сар) хэтэрсэн гэрчилгээнд итгэхээ боль. Хязгаарлалтыг зөвхөн 1 оны есдүгээр сарын 2020-нээс эхлэн олгох гэрчилгээнд нэвтрүүлэхээр төлөвлөж байна. 1-р сарын 825-ээс өмнө хүлээн авсан урт хугацааны хүчинтэй гэрчилгээний хувьд итгэлийг хадгалах боловч 2.2 хоног (XNUMX жил) хүртэл хязгаарлагдана.
Энэхүү өөрчлөлт нь 5 хүртэлх жилийн хугацаатай хямд гэрчилгээ зардаг баталгаажуулалтын төвүүдийн бизнест сөргөөр нөлөөлж болзошгүй юм. Apple-ийн үзэж байгаагаар ийм гэрчилгээг бий болгох нь аюулгүй байдлын нэмэлт аюулыг бий болгож, шинэ крипто стандартыг хурдан хэрэгжүүлэхэд саад учруулж, халдагчдад хохирогчийн траффикийг удаан хугацаагаар хянах, эсвэл үл мэдэгдэх гэрчилгээ алдагдсан тохиолдолд фишинг хийх боломжийг олгодог. хакердсаны үр дүн.
Эх сурвалж: opennet.ru