Qendër certifikimi jofitimprurëse , të kontrolluara nga komuniteti dhe duke ofruar certifikata pa pagesë për të gjithë, për prezantimin e një skeme të re për autoritetin konfirmues për marrjen e një certifikate për një domen. Kontaktimi me serverin që pret direktoriumin "/.well-known/acme-challenge/" i përdorur në test tani do të kryhet duke përdorur disa kërkesa HTTP të dërguara nga 4 adresa IP të ndryshme të vendosura në qendra të ndryshme të dhënash dhe që u përkasin sistemeve të ndryshme autonome. Kontrolli konsiderohet i suksesshëm vetëm nëse të paktën 3 nga 4 kërkesa nga IP të ndryshme janë të suksesshme.
Kontrollimi nga disa nënrrjeta do t'ju lejojë të minimizoni rreziqet e marrjes së certifikatave për domenet e huaja duke kryer sulme të synuara që ridrejtojnë trafikun përmes zëvendësimit të rrugëve fiktive duke përdorur BGP. Kur përdorni një sistem verifikimi me shumë pozicione, një sulmues do të duhet të arrijë njëkohësisht ridrejtimin e rrugës për disa sisteme autonome ofruesish me lidhje të ndryshme, gjë që është shumë më e vështirë sesa ridrejtimi i një rruge të vetme. Dërgimi i kërkesave nga IP të ndryshme do të rrisë gjithashtu besueshmërinë e kontrollit në rast se hostet e vetëm Let's Encrypt përfshihen në listat e bllokimit (për shembull, në Federatën Ruse, disa IP të letsencrypt.org u bllokuan nga Roskomnadzor).
Deri më 1 qershor, do të ketë një periudhë tranzicioni që lejon gjenerimin e certifikatave pas verifikimit të suksesshëm nga qendra kryesore e të dhënave, nëse hosti është i paarritshëm nga nënrrjetet e tjera (për shembull, kjo mund të ndodhë nëse administratori i hostit në murin e zjarrit lejon kërkesat vetëm nga qendra kryesore Let's Encrypt të dhënave ose për shkak të shkeljeve të sinkronizimit të zonës në DNS). Bazuar në regjistrat, do të përgatitet një listë e bardhë për domenet që kanë probleme me verifikimin nga 3 qendra të dhënash shtesë. Vetëm domenet me informacion kontakti të plotësuar do të përfshihen në listën e bardhë. Nëse domeni nuk përfshihet automatikisht në listën e bardhë, një aplikacion për ambientet mund të dërgohet gjithashtu nëpërmjet .
Aktualisht, projekti Let's Encrypt ka lëshuar 113 milion certifikata, duke mbuluar rreth 190 milion domene (150 milion domene u mbuluan një vit më parë dhe 61 milion dy vjet më parë). Sipas statistikave nga shërbimi Firefox Telemetry, pjesa globale e kërkesave për faqe përmes HTTPS është 81% (një vit më parë 77%, dy vjet më parë 69%), dhe në SHBA - 91%.
Për më tepër, mund të vërehet Apple
Ndaloni së besuari certifikatat në shfletuesin Safari, jetëgjatësia e të cilit i kalon 398 ditë (13 muaj). Kufizimi është planifikuar të vendoset vetëm për certifikatat e lëshuara duke filluar nga 1 shtatori 2020. Për certifikatat me një periudhë të gjatë vlefshmërie të marra përpara datës 1 shtator, besimi do të ruhet, por i kufizuar në 825 ditë (2.2 vjet).
Ndryshimi mund të ndikojë negativisht në biznesin e qendrave të çertifikimit që shesin certifikata të lira me një periudhë të gjatë vlefshmërie, deri në 5 vjet. Sipas Apple, gjenerimi i certifikatave të tilla krijon kërcënime shtesë për sigurinë, ndërhyn në zbatimin e shpejtë të standardeve të reja të kriptos dhe lejon sulmuesit të kontrollojnë trafikun e viktimës për një kohë të gjatë ose ta përdorin atë për phishing në rast të një rrjedhjeje të pavërejtur të certifikatës. rezultat i hakerimit.
Burimi: opennet.ru