Neprofitni certifikacijski center , ki ga nadzira skupnost in vsem zagotavlja brezplačne certifikate, o uvedbi nove sheme potrjevanja pooblastila za pridobitev certifikata za domeno. Vzpostavitev stika s strežnikom, ki gosti imenik »/.well-known/acme-challenge/«, uporabljen v testu, bo zdaj izvedena z uporabo več zahtev HTTP, poslanih s 4 različnih naslovov IP, ki se nahajajo v različnih podatkovnih centrih in pripadajo različnim avtonomnim sistemom. Preverjanje se šteje za uspešno le, če so uspešne vsaj 3 od 4 zahtev z različnih IP-jev.
Preverjanje iz več podomrežij vam bo omogočilo, da zmanjšate tveganja pridobivanja certifikatov za tuje domene z izvajanjem ciljnih napadov, ki preusmerjajo promet prek zamenjave fiktivnih poti z uporabo BGP. Pri uporabi sistema večpozicijskega preverjanja bo moral napadalec hkrati doseči preusmeritev poti za več avtonomnih sistemov ponudnikov z različnimi povezavami navzgor, kar je veliko težje kot preusmeritev ene same poti. Pošiljanje zahtev z različnih naslovov IP bo prav tako povečalo zanesljivost preverjanja v primeru, da so posamezni gostitelji Let's Encrypt vključeni na sezname za blokiranje (na primer v Ruski federaciji je Roskomnadzor blokiral nekatere naslove IP letsencrypt.org).
Do 1. junija bo potekalo prehodno obdobje, ki bo omogočalo generiranje certifikatov po uspešni verifikaciji iz primarnega podatkovnega centra, če je gostitelj nedosegljiv iz drugih podomrežij (to se lahko na primer zgodi, če je skrbnik gostitelja na požarnem zidu dovolil zahteve le iz glavni podatkovni center Let's Encrypt ali zaradi kršitev sinhronizacije območja v DNS). Na podlagi dnevnikov bo pripravljena bela lista za domene, ki imajo težave z verifikacijo iz 3 dodatnih podatkovnih centrov. Na beli seznam bodo vključene samo domene z izpolnjenimi kontaktnimi podatki. Če domena ni avtomatsko uvrščena na belo listo, lahko vlogo za prostore pošljete tudi preko .
Trenutno je projekt Let's Encrypt izdal 113 milijonov certifikatov, ki pokrivajo približno 190 milijonov domen (pred letom dni je bilo pokritih 150 milijonov domen, pred dvema letoma pa 61 milijonov). Po statističnih podatkih storitve Firefox Telemetry je globalni delež zahtev po straneh prek HTTPS 81% (pred letom dni 77%, pred dvema letoma 69%), v ZDA pa 91%.
Poleg tega je mogoče opozoriti Apple
Prenehajte zaupati certifikatom v brskalniku Safari, katerih življenjska doba presega 398 dni (13 mesecev). Omejitev naj bi uvedli le za potrdila, izdana s 1. septembrom 2020. Za potrdila z dolgo veljavnostjo, prejeta pred 1. septembrom, bo zaupanje ohranjeno, vendar omejeno na 825 dni (2.2 leta).
Sprememba lahko negativno vpliva na poslovanje certifikacijskih centrov, ki prodajajo poceni certifikate z dolgo veljavnostjo, do 5 let. Po mnenju Apple ustvarjanje takšnih potrdil ustvarja dodatne varnostne grožnje, moti hitro implementacijo novih kripto standardov in omogoča napadalcem, da dolgo časa nadzorujejo promet žrtve ali ga uporabijo za lažno predstavljanje v primeru neopaženega uhajanja potrdila kot posledica hekanja.
Vir: opennet.ru