Non-profit sertifiseringssenter
Kontroll fra flere undernett vil tillate deg å minimere risikoen for å få sertifikater for utenlandske domener ved å utføre målrettede angrep som omdirigerer trafikk gjennom erstatning av fiktive ruter ved hjelp av BGP. Når du bruker et flerposisjonsverifiseringssystem, må en angriper samtidig oppnå ruteomdirigering for flere autonome systemer av leverandører med forskjellige oppkoblinger, noe som er mye vanskeligere enn å omdirigere en enkelt rute. Å sende forespørsler fra forskjellige IP-er vil også øke påliteligheten til sjekken i tilfelle enkelt Let's Encrypt-verter er inkludert i blokkeringslister (for eksempel i Russland ble noen letsencrypt.org-IP-er blokkert av Roskomnadzor).
Frem til 1. juni vil det være en overgangsperiode som tillater generering av sertifikater ved vellykket verifisering fra primærdatasenteret, hvis verten ikke er tilgjengelig fra andre undernett (dette kan for eksempel skje hvis vertsadministratoren på brannmuren tillot forespørsler kun fra hoveddatasenteret Let's Encrypt eller fordi sonesynkroniseringsbrudd i DNS). Basert på loggene vil det utarbeides en hvitliste for domener som har problemer med verifisering fra 3 ekstra datasentre. Kun domener med utfylt kontaktinformasjon vil bli inkludert i hvitelisten. Dersom domenet ikke automatisk kommer med på hvitelisten, kan søknad om lokaler også sendes via
For tiden har Let's Encrypt-prosjektet utstedt 113 millioner sertifikater, som dekker rundt 190 millioner domener (150 millioner domener ble dekket for et år siden, og 61 millioner for to år siden). I følge statistikk fra Firefox Telemetry-tjenesten er den globale andelen sideforespørsler via HTTPS 81 % (for et år siden 77 %, for to år siden 69 %), og i USA - 91 %.
I tillegg kan det bemerkes
Slutt å stole på sertifikater i Safari-nettleseren hvis levetid overstiger 398 dager (13 måneder). Begrensningen er planlagt innført kun for sertifikater utstedt fra 1. september 2020. For sertifikater med lang gyldighetstid mottatt før 1. september vil tillit beholdes, men begrenset til 825 dager (2.2 år).
Endringen kan påvirke virksomheten til sertifiseringssentre som selger billige sertifikater med lang gyldighetstid, inntil 5 år, negativt. Ifølge Apple skaper genereringen av slike sertifikater ytterligere sikkerhetstrusler, forstyrrer den raske implementeringen av nye kryptostandarder, og lar angripere kontrollere offerets trafikk i lang tid eller bruke den til phishing i tilfelle en ubemerket sertifikatlekkasje som et resultat av hacking.
Kilde: opennet.ru