Non-profit sertifiseringssenter , kontrollert av fellesskapet og gir sertifikater gratis til alle, om innføring av ny ordning for bekreftelse av fullmakt til å få sertifikat for et domene. Kontakting av serveren som er vert for "/.well-known/acme-challenge/"-katalogen som ble brukt i testen, vil nå bli utført ved hjelp av flere HTTP-forespørsler sendt fra 4 forskjellige IP-adresser plassert i forskjellige datasentre og som tilhører forskjellige autonome systemer. Kontrollen anses som vellykket bare hvis minst 3 av 4 forespørsler fra forskjellige IP-er er vellykkede.
Kontroll fra flere undernett vil tillate deg å minimere risikoen for å få sertifikater for utenlandske domener ved å utføre målrettede angrep som omdirigerer trafikk gjennom erstatning av fiktive ruter ved hjelp av BGP. Når du bruker et flerposisjonsverifiseringssystem, må en angriper samtidig oppnå ruteomdirigering for flere autonome systemer av leverandører med forskjellige oppkoblinger, noe som er mye vanskeligere enn å omdirigere en enkelt rute. Å sende forespørsler fra forskjellige IP-er vil også øke påliteligheten til sjekken i tilfelle enkelt Let's Encrypt-verter er inkludert i blokkeringslister (for eksempel i Russland ble noen letsencrypt.org-IP-er blokkert av Roskomnadzor).
Frem til 1. juni vil det være en overgangsperiode som tillater generering av sertifikater ved vellykket verifisering fra primærdatasenteret, hvis verten ikke er tilgjengelig fra andre undernett (dette kan for eksempel skje hvis vertsadministratoren på brannmuren tillot forespørsler kun fra hoveddatasenteret Let's Encrypt eller fordi sonesynkroniseringsbrudd i DNS). Basert på loggene vil det utarbeides en hvitliste for domener som har problemer med verifisering fra 3 ekstra datasentre. Kun domener med utfylt kontaktinformasjon vil bli inkludert i hvitelisten. Dersom domenet ikke automatisk kommer med på hvitelisten, kan søknad om lokaler også sendes via .
For tiden har Let's Encrypt-prosjektet utstedt 113 millioner sertifikater, som dekker rundt 190 millioner domener (150 millioner domener ble dekket for et år siden, og 61 millioner for to år siden). I følge statistikk fra Firefox Telemetry-tjenesten er den globale andelen sideforespørsler via HTTPS 81 % (for et år siden 77 %, for to år siden 69 %), og i USA - 91 %.
I tillegg kan det bemerkes eple
Slutt å stole på sertifikater i Safari-nettleseren hvis levetid overstiger 398 dager (13 måneder). Begrensningen er planlagt innført kun for sertifikater utstedt fra 1. september 2020. For sertifikater med lang gyldighetstid mottatt før 1. september vil tillit beholdes, men begrenset til 825 dager (2.2 år).
Endringen kan påvirke virksomheten til sertifiseringssentre som selger billige sertifikater med lang gyldighetstid, inntil 5 år, negativt. Ifølge Apple skaper genereringen av slike sertifikater ytterligere sikkerhetstrusler, forstyrrer den raske implementeringen av nye kryptostandarder, og lar angripere kontrollere offerets trafikk i lang tid eller bruke den til phishing i tilfelle en ubemerket sertifikatlekkasje som et resultat av hacking.
Kilde: opennet.ru