غير منافع بخش سرٽيفڪيشن سينٽر ، ڪميونٽي طرفان ڪنٽرول ۽ هر ڪنهن کي مفت سرٽيفڪيٽ فراهم ڪرڻ، ڊومين لاءِ سرٽيفڪيٽ حاصل ڪرڻ لاءِ اٿارٽي جي تصديق لاءِ نئين اسڪيم جي تعارف تي. سرور سان رابطو ڪرڻ جيڪو ميزباني ڪري ٿو “/.well-known/acme-challenge/” ڊاريڪٽري ٽيسٽ ۾ استعمال ڪئي وئي هاڻي ڪيترن ئي HTTP درخواستن کي استعمال ڪندي ڪيو ويندو 4 مختلف IP پتي کان موڪليل مختلف ڊيٽا سينٽرن ۾ واقع ۽ مختلف خودمختيار نظامن سان تعلق رکندڙ. چيڪ صرف ڪامياب سمجهيو ويندو آهي جڏهن مختلف IPs مان 3 درخواستن مان گهٽ ۾ گهٽ 4 ڪامياب ٿين ٿيون.
ڪيترن ئي سبنيٽس مان چيڪ ڪرڻ توهان کي اجازت ڏيندو ته غير ملڪي ڊومينز لاءِ سرٽيفڪيٽ حاصل ڪرڻ جا خطرا ٽارگيٽيڊ حملا ڪري جيڪي BGP استعمال ڪندي جعلي رستن جي متبادل ذريعي ٽرئفڪ کي ريڊائر ڪندا آهن. جڏهن هڪ ملٽي پوزيشن جي تصديق واري نظام کي استعمال ڪندي، هڪ حملي ڪندڙ کي هڪ ئي وقت مختلف اپ لنڪس سان مهيا ڪندڙن جي ڪيترن ئي خودمختيار نظامن لاءِ رستو ريڊائريڪشن حاصل ڪرڻ جي ضرورت پوندي، جيڪو هڪ واحد رستي کي ريڊائريڪٽ ڪرڻ کان وڌيڪ ڏکيو آهي. مختلف IPs کان درخواستون موڪلڻ سان چيڪ جي اعتبار ۾ به اضافو ٿيندو ان صورت ۾ ته سنگل Let's Encrypt ميزبان بلاڪنگ لسٽن ۾ شامل آهن (مثال طور، روسي فيڊريشن ۾، ڪجهه letsencrypt.org IPs کي Roskomnadzor طرفان بلاڪ ڪيو ويو هو).
1 جون تائين، اتي هڪ منتقلي وارو دور هوندو جيڪو ابتدائي ڊيٽا سينٽر کان ڪامياب تصديق تي سرٽيفڪيٽن جي پيداوار جي اجازت ڏيندو، جيڪڏهن ميزبان ٻين سبنيٽس کان دستياب ناهي (مثال طور، اهو ٿي سگهي ٿو جيڪڏهن ميزبان ايڊمنسٽريٽر فائر وال تي صرف درخواستن جي اجازت ڏئي. مکيه Let's Encrypt data center or because zone synchronization violations in DNS). لاگن جي بنياد تي، هڪ اڇي لسٽ تيار ڪئي ويندي ڊومينز لاءِ جن کي 3 اضافي ڊيٽا سينٽرن کان تصديق ڪرڻ ۾ مسئلو آهي. صرف مڪمل رابطي جي معلومات سان ڊومينز سفيد لسٽ ۾ شامل ڪيا ويندا. جيڪڏهن ڊومين خودڪار طور تي سفيد لسٽ ۾ شامل نه ڪيو ويو آهي، احاطي لاء هڪ درخواست پڻ موڪلي سگهجي ٿي .
في الحال، Let's Encrypt پروجيڪٽ 113 ملين سرٽيفڪيٽ جاري ڪيا آهن، جن ۾ اٽڪل 190 ملين ڊومينز شامل آهن (150 ملين ڊومينز هڪ سال اڳ ڍڪيل هئا، ۽ 61 ملين ٻه سال اڳ). Firefox Telemetry سروس جي انگن اکرن موجب، HTTPS ذريعي صفحي جي درخواستن جو عالمي حصيداري 81٪ آهي (هڪ سال اڳ 77٪، ٻه سال اڳ 69٪)، ۽ آمريڪا ۾ - 91٪.
اضافي طور تي، اهو نوٽ ڪري سگهجي ٿو ايپل
سفاري برائوزر ۾ سرٽيفڪيٽن تي ڀروسو ڪرڻ بند ڪريو جن جي زندگي 398 ڏينهن (13 مهينا) کان وڌيڪ آهي. پابندي صرف 1 سيپٽمبر 2020 کان جاري ڪيل سرٽيفڪيٽن لاءِ متعارف ڪرائڻ جي رٿابندي ڪئي وئي آهي. 1 سيپٽمبر کان اڳ حاصل ڪيل ڊگھي صحيح مدت سان سرٽيفڪيٽن لاءِ، اعتماد برقرار رکيو ويندو، پر 825 ڏينهن (2.2 سال) تائين محدود هوندو.
تبديلي منفي طور تي سرٽيفڪيشن سينٽرن جي ڪاروبار تي اثر انداز ٿي سگھي ٿي جيڪي سستا سرٽيفڪيٽ وڪڻن ٿا 5 سالن تائين ڊگھي صحيح مدت سان. ايپل جي مطابق، اهڙين سرٽيفڪيٽن جي پيداوار اضافي سيڪيورٽي خطرن کي پيدا ڪري ٿي، نئين crypto معيارن جي تيزيء سان عمل درآمد ۾ مداخلت ڪري ٿي، ۽ حملي ڪندڙن کي اجازت ڏئي ٿو ته هو گهڻو وقت تائين متاثرين جي ٽرئفڪ کي ڪنٽرول ڪن يا ان کي فشنگ لاء استعمال ڪرڻ جي صورت ۾ هڪ اڻڄاتل سرٽيفڪيٽ ليڪ جي صورت ۾. هيڪنگ جو نتيجو.
جو ذريعو: opennet.ru