Ċentru ta 'ċertifikazzjoni mingħajr skop ta' qligħ , ikkontrollata mill-komunità u tipprovdi ċertifikati mingħajr ħlas lil kulħadd, dwar l-introduzzjoni ta' skema ġdida għall-awtorità ta' konferma biex tikseb ċertifikat għal dominju. L-kuntatt mas-server li jospita d-direttorju “/.well-known/acme-challenge/” użat fit-test issa se jsir bl-użu ta’ diversi talbiet HTTP mibgħuta minn 4 indirizzi IP differenti li jinsabu f’ċentri tad-dejta differenti u li jappartjenu għal sistemi awtonomi differenti. Il-kontroll jitqies bħala suċċess biss jekk mill-inqas 3 minn 4 talbiet minn IPs differenti jirnexxu.
L-iċċekkjar minn diversi subnets jippermettilek timminimizza r-riskji li tikseb ċertifikati għal oqsma barranin billi twettaq attakki mmirati li jidderieġu mill-ġdid it-traffiku permezz tas-sostituzzjoni ta 'rotot fittizji bl-użu ta' BGP. Meta tuża sistema ta 'verifika b'ħafna pożizzjonijiet, attakkant ikollu bżonn simultanjament jikseb direzzjoni mill-ġdid tar-rotta għal diversi sistemi awtonomi ta' fornituri b'uplinks differenti, li huwa ħafna aktar diffiċli milli jidderieġi rotta waħda. Li jintbagħtu talbiet minn IPs differenti se jżidu wkoll l-affidabbiltà tal-kontroll fil-każ li l-hosts uniċi Let's Encrypt huma inklużi f'listi ta 'imblukkar (per eżempju, fil-Federazzjoni Russa, xi IPs letsencrypt.org ġew imblukkati minn Roskomnadzor).
Sal-1 ta’ Ġunju, se jkun hemm perjodu ta’ tranżizzjoni li jippermetti l-ġenerazzjoni ta’ ċertifikati wara verifika b’suċċess miċ-ċentru tad-dejta primarju, jekk l-host ma jkunx jista’ jintlaħaq minn subnets oħra (pereżempju, dan jista’ jiġri jekk l-amministratur tal-host fuq il-firewall iħalli talbiet biss minn iċ-ċentru ewlieni tad-dejta Let's Encrypt jew minħabba ksur tas-sinkronizzazzjoni taż-żona fid-DNS). Ibbażat fuq ir-zkuk, se titħejja lista bajda għal oqsma li għandhom problemi bil-verifika minn 3 ċentri tad-dejta addizzjonali. Dominji biss b'informazzjoni ta' kuntatt kompluta se jkunu inklużi fil-lista l-bajda. Jekk id-dominju ma jkunx inkluż awtomatikament fil-lista l-bajda, applikazzjoni għall-bini tista 'tintbagħat ukoll permezz .
Bħalissa, il-proġett Let's Encrypt ħareġ 113-il miljun ċertifikat, li jkopri madwar 190 miljun dominju (150 miljun dominju kienu koperti sena ilu, u 61 miljun sentejn ilu). Skont statistika mis-servizz Firefox Telemetry, is-sehem globali tat-talbiet tal-paġni permezz tal-HTTPS huwa 81% (sena ilu 77%, sentejn ilu 69%), u fl-Istati Uniti - 91%.
Barra minn hekk, jista 'jiġi nnotat Apple
Tieqaf tafda ċ-ċertifikati fil-browser Safari li l-ħajja tiegħu taqbeż it-398 jum (13-il xahar). Ir-restrizzjoni hija ppjanata li tiddaħħal biss għaċ-ċertifikati maħruġa mill-1 ta’ Settembru 2020. Għal ċertifikati b'perjodu ta 'validità twil riċevuti qabel l-1 ta' Settembru, il-fiduċja tinżamm, iżda limitata għal 825 jum (2.2 snin).
Il-bidla tista 'taffettwa b'mod negattiv in-negozju ta' ċentri ta 'ċertifikazzjoni li jbiegħu ċertifikati irħas b'perjodu ta' validità twil, sa 5 snin. Skont Apple, il-ġenerazzjoni ta’ ċertifikati bħal dawn toħloq theddid addizzjonali għas-sigurtà, tinterferixxi mal-implimentazzjoni rapida ta’ standards kripto ġodda, u tippermetti lill-attakkanti jikkontrollaw it-traffiku tal-vittma għal żmien twil jew jużawh għall-phishing fil-każ ta’ tnixxija ta’ ċertifikat mhux innutat hekk kif riżultat ta 'hacking.
Sors: opennet.ru