Pusat pensijilan bukan untung , dikawal oleh komuniti dan menyediakan sijil secara percuma kepada semua orang, mengenai pengenalan skim baharu untuk mengesahkan kuasa untuk mendapatkan sijil untuk domain. Menghubungi pelayan yang mengehoskan direktori β/.well-known/acme-challenge/β yang digunakan dalam ujian kini akan dijalankan menggunakan beberapa permintaan HTTP yang dihantar daripada 4 alamat IP berbeza yang terletak di pusat data berbeza dan dimiliki oleh sistem autonomi yang berbeza. Semakan dianggap berjaya hanya jika sekurang-kurangnya 3 daripada 4 permintaan daripada IP berbeza berjaya.
Semakan daripada beberapa subnet akan membolehkan anda meminimumkan risiko mendapatkan sijil untuk domain asing dengan melakukan serangan sasaran yang mengubah hala lalu lintas melalui penggantian laluan rekaan menggunakan BGP. Apabila menggunakan sistem pengesahan berbilang kedudukan, penyerang perlu secara serentak mencapai ubah hala laluan untuk beberapa sistem autonomi pembekal dengan pautan naik berbeza, yang jauh lebih sukar daripada mengubah hala satu laluan. Menghantar permintaan daripada IP yang berbeza juga akan meningkatkan kebolehpercayaan semakan sekiranya hos Let's Encrypt tunggal dimasukkan dalam senarai sekatan (contohnya, di Persekutuan Rusia, beberapa IP letsencrypt.org telah disekat oleh Roskomnadzor).
Sehingga 1 Jun, akan ada tempoh peralihan yang membenarkan penjanaan sijil selepas pengesahan berjaya daripada pusat data utama, jika hos tidak boleh dihubungi daripada subnet lain (contohnya, ini boleh berlaku jika pentadbir hos pada firewall membenarkan permintaan daripada pusat data Let's Encrypt utama atau kerana pelanggaran penyegerakan zon dalam DNS). Berdasarkan log, senarai putih akan disediakan untuk domain yang mempunyai masalah dengan pengesahan daripada 3 pusat data tambahan. Hanya domain dengan maklumat hubungan yang lengkap akan dimasukkan dalam senarai putih. Jika domain tidak dimasukkan secara automatik dalam senarai putih, permohonan untuk premis juga boleh dihantar melalui .
Pada masa ini, projek Let's Encrypt telah mengeluarkan 113 juta sijil, meliputi kira-kira 190 juta domain (150 juta domain telah dilindungi setahun lalu, dan 61 juta dua tahun lalu). Menurut statistik daripada perkhidmatan Telemetri Firefox, bahagian global permintaan halaman melalui HTTPS ialah 81% (setahun lalu 77%, dua tahun lalu 69%), dan di AS - 91%.
Di samping itu, ia boleh diperhatikan epal
Berhenti mempercayai sijil dalam penyemak imbas Safari yang hayatnya melebihi 398 hari (13 bulan). Sekatan itu dirancang untuk diperkenalkan hanya untuk sijil yang dikeluarkan mulai 1 September 2020. Untuk sijil dengan tempoh sah yang panjang diterima sebelum 1 September, amanah akan dikekalkan, tetapi terhad kepada 825 hari (2.2 tahun).
Perubahan itu boleh menjejaskan perniagaan pusat pensijilan yang menjual sijil murah dengan tempoh sah yang panjang, sehingga 5 tahun. Menurut Apple, penjanaan sijil sedemikian mewujudkan ancaman keselamatan tambahan, mengganggu pelaksanaan pantas piawaian kripto baharu, dan membenarkan penyerang mengawal trafik mangsa untuk masa yang lama atau menggunakannya untuk pancingan data sekiranya berlaku kebocoran sijil tanpa disedari sebagai akibat penggodaman.
Sumber: opennet.ru