Centro de certificação sem fins lucrativos , controlado pela comunidade e fornecendo certificados gratuitamente a todos, sobre a introdução de um novo esquema para confirmar a autoridade para obter um certificado para um domínio. O contacto com o servidor que aloja o diretório “/.well-known/acme-challenge/” utilizado no teste será agora realizado através de vários pedidos HTTP enviados a partir de 4 endereços IP diferentes localizados em diferentes centros de dados e pertencentes a diferentes sistemas autónomos. A verificação é considerada bem-sucedida somente se pelo menos 3 de 4 solicitações de IPs diferentes forem bem-sucedidas.
A verificação de várias sub-redes permitirá minimizar os riscos de obtenção de certificados para domínios estrangeiros, realizando ataques direcionados que redirecionam o tráfego através da substituição de rotas fictícias por BGP. Ao utilizar um sistema de verificação de múltiplas posições, um invasor precisará realizar simultaneamente o redirecionamento de rotas para vários sistemas autônomos de provedores com diferentes uplinks, o que é muito mais difícil do que redirecionar uma única rota. O envio de solicitações de IPs diferentes também aumentará a confiabilidade da verificação no caso de hosts Let's Encrypt individuais serem incluídos em listas de bloqueio (por exemplo, na Federação Russa, alguns IPs do letsencrypt.org foram bloqueados pelo Roskomnadzor).
Até 1º de junho, haverá um período de transição que permitirá a geração de certificados mediante verificação bem-sucedida do data center primário, se o host estiver inacessível de outras sub-redes (por exemplo, isso pode acontecer se o administrador do host no firewall permitir solicitações apenas de o principal data center Let's Encrypt ou porque violações de sincronização de zona no DNS). Com base nos logs, será preparada uma lista branca para domínios que apresentam problemas de verificação de 3 data centers adicionais. Somente domínios com informações de contato preenchidas serão incluídos na lista branca. Se o domínio não for automaticamente incluído na lista branca, um pedido de instalações também pode ser enviado via .
Atualmente, o projeto Let's Encrypt emitiu 113 milhões de certificados, cobrindo cerca de 190 milhões de domínios (150 milhões de domínios foram cobertos há um ano e 61 milhões há dois anos). De acordo com estatísticas do serviço Firefox Telemetry, a participação global de solicitações de páginas via HTTPS é de 81% (há um ano 77%, há dois anos 69%) e nos EUA - 91%.
Além disso, pode-se notar Maçã
Pare de confiar em certificados no navegador Safari cuja vida útil exceda 398 dias (13 meses). A restrição está prevista para ser introduzida apenas para certificados emitidos a partir de 1º de setembro de 2020. Para certificados com longo período de validade recebidos antes de 1º de setembro, a confiança será mantida, mas limitada a 825 dias (2.2 anos).
A mudança pode afetar negativamente os negócios dos centros de certificação que vendem certificados baratos e com prazo de validade longo, de até 5 anos. Segundo a Apple, a geração de tais certificados cria ameaças adicionais à segurança, interfere na rápida implementação de novos padrões de criptografia e permite que invasores controlem o tráfego da vítima por um longo período ou o utilizem para phishing no caso de um vazamento despercebido do certificado, como resultado de hacking.
Fonte: opennet.ru