Centrum certyfikacji non-profit , kontrolowane przez społeczność i udostępniające każdemu bezpłatnie certyfikaty, w sprawie wprowadzenia nowego schematu potwierdzania uprawnień do uzyskania certyfikatu dla domeny. Kontakt z serwerem hostującym katalog „/.well-known/acme-challenge/” wykorzystany w teście będzie teraz realizowany za pomocą kilku żądań HTTP wysłanych z 4 różnych adresów IP zlokalizowanych w różnych centrach danych i należących do różnych systemów autonomicznych. Sprawdzenie uznaje się za pomyślne tylko wtedy, gdy co najmniej 3 z 4 żądań z różnych adresów IP zakończyło się sukcesem.
Sprawdzanie z kilku podsieci pozwoli zminimalizować ryzyko pozyskania certyfikatów dla domen obcych poprzez przeprowadzanie ataków ukierunkowanych, które przekierowują ruch poprzez podstawianie fikcyjnych tras z wykorzystaniem protokołu BGP. Korzystając z wielopozycyjnego systemu inspekcji, osoba atakująca będzie musiała jednocześnie dokonać przekierowania trasy dla kilku autonomicznych systemów dostawców z różnymi łączami nadrzędnymi, co jest znacznie trudniejsze niż przekierowanie pojedynczej trasy. Wysyłanie żądań z różnych adresów IP zwiększy również niezawodność kontroli w przypadku, gdy pojedyncze hosty Let's Encrypt znajdą się na listach blokujących (na przykład w Federacji Rosyjskiej niektóre adresy IP letsencrypt.org zostały zablokowane przez Roskomnadzor).
Do 1 czerwca będzie obowiązywał okres przejściowy umożliwiający generowanie certyfikatów po pomyślnej weryfikacji z głównego centrum danych, jeśli host będzie nieosiągalny z innych podsieci (np. może się to zdarzyć, jeśli administrator hosta na zaporze sieciowej zezwolił na żądania tylko z Strona główna Centrum danych Let's Encrypt lub z powodu naruszeń synchronizacji stref w DNS). Na podstawie logów zostanie przygotowana biała lista dla domen, które mają problemy z weryfikacją z 3 dodatkowych data center. Na białej liście znajdą się tylko domeny z wypełnionymi danymi kontaktowymi. Jeżeli domena nie zostanie automatycznie wpisana na białą listę, wniosek o udostępnienie lokalu można przesłać również za pośrednictwem .
Obecnie projekt Let's Encrypt wypuścił 113 milionów certyfikatów, obejmujących około 190 milionów domen (rok temu objętych było 150 milionów domen, a dwa lata temu 61 milionów). Według statystyk usługi Firefox Telemetry, globalny udział żądań stron poprzez HTTPS wynosi 81% (rok temu 77%, dwa lata temu 69%), a w USA - 91%.
Dodatkowo można to zauważyć Jabłko
Przestań ufać certyfikatom w przeglądarce Safari, których czas życia przekracza 398 dni (13 miesięcy). Planowane jest wprowadzenie ograniczenia wyłącznie dla certyfikatów wydawanych od 1 września 2020 r. W przypadku certyfikatów o długim okresie ważności otrzymanych przed 1 września zaufanie zostanie zachowane, ale ograniczone do 825 dni (2.2 roku).
Zmiana może negatywnie wpłynąć na działalność ośrodków certyfikacyjnych sprzedających tanie certyfikaty z długim okresem ważności, sięgającym nawet 5 lat. Według Apple generowanie takich certyfikatów stwarza dodatkowe zagrożenia bezpieczeństwa, utrudnia szybkie wdrażanie nowych standardów kryptograficznych i pozwala atakującym na kontrolowanie ruchu ofiary przez długi czas lub wykorzystanie go do phishingu w przypadku niezauważonego wycieku certyfikatu w wyniku włamania.
Źródło: opennet.ru