Neziskové certifikačné centrum , kontrolované komunitou a poskytujúce certifikáty bezplatne každému, o zavedení novej schémy potvrdzovania oprávnenia na získanie certifikátu pre doménu. Kontaktovanie servera, ktorý je hostiteľom adresára „/.well-known/acme-challenge/“ použitého v teste, sa teraz uskutoční pomocou niekoľkých HTTP požiadaviek odoslaných zo 4 rôznych IP adries umiestnených v rôznych dátových centrách a patriacich do rôznych autonómnych systémov. Kontrola sa považuje za úspešnú iba vtedy, ak sú úspešné aspoň 3 zo 4 žiadostí z rôznych IP.
Kontrola z viacerých podsietí vám umožní minimalizovať riziká získania certifikátov pre cudzie domény vykonávaním cielených útokov, ktoré presmerujú prevádzku prostredníctvom nahradenia fiktívnych trás pomocou BGP. Pri použití viacpolohového overovacieho systému bude musieť útočník súčasne dosiahnuť presmerovanie trasy pre niekoľko autonómnych systémov poskytovateľov s rôznymi uplinkmi, čo je oveľa náročnejšie ako presmerovanie jednej trasy. Odosielanie požiadaviek z rôznych adries IP tiež zvýši spoľahlivosť kontroly v prípade, že jednotliví hostitelia Let's Encrypt budú zahrnutí do zoznamov blokovania (napríklad v Ruskej federácii boli niektoré adresy IP letsencrypt.org zablokované Roskomnadzorom).
Do 1. júna bude platiť prechodné obdobie umožňujúce vygenerovanie certifikátov po úspešnom overení z primárneho dátového centra, ak je hostiteľ nedostupný z iných podsietí (môže sa to napríklad stať, ak správca hostiteľa na firewalle povolil požiadavky len z hlavné dátové centrum Let's Encrypt alebo z dôvodu porušenia synchronizácie zóny v DNS). Na základe logov bude pripravený white list pre domény, ktoré majú problémy s overením z 3 dodatočných dátových centier. Do bieleho zoznamu budú zahrnuté iba domény s vyplnenými kontaktnými informáciami. Ak doména nie je automaticky zaradená do bieleho zoznamu, žiadosť o priestory je možné zaslať aj cez .
V súčasnosti projekt Let's Encrypt vydal 113 miliónov certifikátov pokrývajúcich približne 190 miliónov domén (pred rokom bolo pokrytých 150 miliónov domén a pred dvoma rokmi 61 miliónov). Podľa štatistík služby Firefox Telemetry je globálny podiel žiadostí o stránku cez HTTPS 81 % (pred rokom 77 %, pred dvomi rokmi 69 %) a v USA - 91 %.
Okrem toho je možné poznamenať Apple
Prestaňte dôverovať certifikátom v prehliadači Safari, ktorých životnosť presahuje 398 dní (13 mesiacov). Obmedzenie sa plánuje zaviesť len pre certifikáty vydané od 1. septembra 2020. V prípade certifikátov s dlhou dobou platnosti prijatých pred 1. septembrom bude dôvera zachovaná, ale obmedzená na 825 dní (2.2 roka).
Zmena môže negatívne ovplyvniť podnikanie certifikačných centier, ktoré predávajú lacné certifikáty s dlhou dobou platnosti, až 5 rokov. Generovanie takýchto certifikátov podľa Apple vytvára ďalšie bezpečnostné hrozby, zasahuje do rýchlej implementácie nových krypto štandardov a umožňuje útočníkom dlhodobo kontrolovať prevádzku obete alebo ju použiť na phishing v prípade nepozorovaného úniku certifikátu ako napr. výsledkom hackovania.
Zdroj: opennet.ru