Organ certyfikujący non-profit , kontrolowane przez społeczność i zapewniające bezpłatne certyfikaty każdemu, kto ich chce, o wdrożeniu nowego schematu potwierdzania uprawnień do uzyskania certyfikatu dla domeny. Żądanie do serwera, na którym znajduje się katalog „/.well-known/acme-challenge/” używany w sprawdzaniu, będzie teraz realizowane za pomocą kilku żądań HTTP wysyłanych z 4 różnych adresów IP zlokalizowanych w różnych centrach danych i należących do różnych systemów autonomicznych. Sprawdzanie jest uznawane za pomyślne tylko wtedy, gdy co najmniej 3 z 4 żądań z różnych adresów IP zakończyło się powodzeniem.
Weryfikacja z kilku podsieci zminimalizuje ryzyko uzyskania certyfikatów dla innych domen poprzez przeprowadzenie ukierunkowanych ataków, które przekierowują ruch poprzez podmianę fikcyjnych tras za pomocą BGP. Podczas korzystania z systemu weryfikacji wielostanowiskowej atakujący będzie musiał jednocześnie dokonać przekierowania trasy dla kilku autonomicznych systemów dostawców z różnymi łączami w górę, co jest znacznie trudniejsze niż przekierowanie pojedynczej trasy. Wysyłanie żądań z różnych adresów IP zwiększy również niezawodność weryfikacji w przypadku, gdy poszczególne hosty Let's Encrypt zostaną uwzględnione na listach blokowanych (na przykład w Federacji Rosyjskiej niektóre adresy IP letsencrypt.org zostały zablokowane przez Roskomnadzor).
Do 1 czerwca będzie obowiązywał okres przejściowy, który umożliwi wygenerowanie certyfikatu po pomyślnej weryfikacji z głównego centrum danych, jeśli host jest niedostępny z innych podsieci (na przykład może się tak zdarzyć, jeśli administrator hosta na zaporze zezwolił na żądania tylko z głównego centrum danych Let's Encrypt lub z powodu naruszenia synchronizacji stref w DNS). Na podstawie logów zostanie przygotowana biała lista dla domen, które mają problemy z weryfikacją z 3 dodatkowych centrów danych. Na białej liście zostaną uwzględnione tylko domeny z wypełnionymi danymi kontaktowymi. Jeśli domena nie zostanie automatycznie uwzględniona na białej liście, wniosek o umieszczenie można również wysłać za pośrednictwem .
Obecnie projekt Let's Encrypt wydał 113 milionów certyfikatów, obejmujących około 190 milionów domen (rok temu obejmował 150 milionów domen, a dwa lata temu - 61 milionów). Według statystyk z usługi Firefox Telemetry, globalny udział żądań stron przez HTTPS wynosi 81% (rok temu 77%, dwa lata temu 69%), a w USA - 91%.
Dodatkowo można to zauważyć Jabłko
Zaprzestań ufania certyfikatom o okresie ważności przekraczającym 398 dni (13 miesięcy) w przeglądarce Safari. Ograniczenie ma zostać wprowadzone tylko dla certyfikatów wydanych od 1 września 2020 r. W przypadku certyfikatów o długim okresie ważności otrzymanych przed 1 września zaufanie zostanie zachowane, ale ograniczone do 825 dni (2.2 roku).
Zmiana może negatywnie wpłynąć na działalność urzędów certyfikacji sprzedających tanie certyfikaty o długim okresie ważności, nawet do 5 lat. Według Apple, generowanie takich certyfikatów stwarza dodatkowe zagrożenia bezpieczeństwa, utrudnia szybką implementację nowych standardów kryptograficznych i pozwala atakującym kontrolować ruch ofiary przez długi czas lub wykorzystywać go do phishingu w przypadku niezauważonego wycieku certyfikatu w wyniku włamania.
Źródło: opennet.ru
