Certificeringscentrum zonder winstoogmerk , gecontroleerd door de gemeenschap en gratis certificaten verstrekkend aan iedereen, over de invoering van een nieuwe regeling voor het bevestigen van de bevoegdheid om een certificaat voor een domein te verkrijgen. Het contacteren van de server die de map “/.well-known/acme-challenge/” host die in de test werd gebruikt, zal nu worden uitgevoerd met behulp van verschillende HTTP-verzoeken die worden verzonden vanaf 4 verschillende IP-adressen die zich in verschillende datacentra bevinden en die tot verschillende autonome systemen behoren. De controle wordt alleen als succesvol beschouwd als minimaal 3 van de 4 verzoeken van verschillende IP's succesvol zijn.
Door vanuit verschillende subnetten te controleren, kunt u de risico's van het verkrijgen van certificaten voor buitenlandse domeinen minimaliseren door gerichte aanvallen uit te voeren waarbij verkeer wordt omgeleid via de vervanging van fictieve routes met behulp van BGP. Bij gebruik van een multi-positie inspectiesysteem zal een aanvaller tegelijkertijd route-omleiding moeten realiseren voor meerdere autonome systemen van providers met verschillende uplinks, wat veel moeilijker is dan het omleiden van één enkele route. Het verzenden van verzoeken vanaf verschillende IP's zal ook de betrouwbaarheid van de controle vergroten in het geval dat enkele Let's Encrypt-hosts zijn opgenomen in blokkeerlijsten (in de Russische Federatie werden bijvoorbeeld sommige Let's Encrypt.org IP's geblokkeerd door Roskomnadzor).
Tot 1 juni zal er een overgangsperiode zijn die het genereren van certificaten mogelijk maakt na succesvolle verificatie vanuit het primaire datacenter, als de host niet bereikbaar is vanaf andere subnetten (dit kan bijvoorbeeld gebeuren als de hostbeheerder op de firewall alleen verzoeken toestaat van het belangrijkste Let's Encrypt-datacenter of vanwege schendingen van de zonesynchronisatie in DNS). Op basis van de logs wordt er een witte lijst opgesteld voor domeinen die problemen hebben met de verificatie vanuit 3 extra datacenters. Alleen domeinen met ingevulde contactgegevens worden opgenomen in de witte lijst. Indien het domein niet automatisch op de witte lijst staat, kan er ook een aanvraag voor een pand worden verzonden via .
Momenteel heeft het Let’s Encrypt-project 113 miljoen certificaten uitgegeven, die ongeveer 190 miljoen domeinen bestrijken (150 miljoen domeinen waren een jaar geleden gedekt en 61 miljoen twee jaar geleden). Volgens statistieken van de Firefox Telemetry-service bedraagt het wereldwijde aandeel van paginaverzoeken via HTTPS 81% (een jaar geleden 77%, twee jaar geleden 69%) en in de VS 91%.
Bovendien kan het worden opgemerkt Appel
Stop met het vertrouwen van certificaten in de Safari-browser waarvan de levensduur langer is dan 398 dagen (13 maanden). Het is de bedoeling dat de beperking alleen wordt ingevoerd voor certificaten die zijn uitgegeven vanaf 1 september 2020. Voor certificaten met een lange geldigheidsduur die vóór 1 september zijn ontvangen, blijft het vertrouwen behouden, maar beperkt tot 825 dagen (2.2 jaar).
De verandering kan een negatief effect hebben op de activiteiten van certificeringscentra die goedkope certificaten verkopen met een lange geldigheidsduur, tot wel vijf jaar. Volgens Apple zorgt het genereren van dergelijke certificaten voor extra veiligheidsrisico's, belemmert het de snelle implementatie van nieuwe cryptostandaarden en stelt het aanvallers in staat om het verkeer van het slachtoffer lange tijd te controleren of te gebruiken voor phishing in het geval van een onopgemerkt certificaatlek als een bedreiging. gevolg van hacken.
Bron: opennet.ru