Непрофитни сертификациони центар , које контролише заједница и пружа сертификате бесплатно свима, о увођењу нове шеме за потврђивање овлашћења за добијање сертификата за домен. Контактирање сервера који хостује директоријум “/.велл-кновн/ацме-цхалленге/” који се користи у тесту сада ће се обављати коришћењем неколико ХТТП захтева послатих са 4 различите ИП адресе које се налазе у различитим центрима података и које припадају различитим аутономним системима. Провера се сматра успешном само ако су најмање 3 од 4 захтева са различитих ИП адреса успешна.
Провера из неколико подмрежа ће вам омогућити да минимизирате ризике добијања сертификата за стране домене извођењем циљаних напада који преусмеравају саобраћај заменом фиктивних рута користећи БГП. Када користи систем верификације са више позиција, нападач ће морати истовремено да постигне преусмеравање руте за неколико аутономних система провајдера са различитим уплинковима, што је много теже од преусмеравања једне руте. Слање захтева са различитих ИП адреса ће такође повећати поузданост провере у случају да су појединачни хостови Лет'с Енцрипт укључени на листе блокирања (на пример, у Руској Федерацији, Роскомнадзор је блокирао неке ИП адресе летсенцрипт.орг).
До 1. јуна постојаће прелазни период који дозвољава генерисање сертификата након успешне верификације из примарног центра података, ако је хост недоступан из других подмрежа (на пример, ово се може десити ако администратор хоста на заштитном зиду дозволи захтеве само од главни Лет'с Енцрипт дата центар или због кршења синхронизације зоне у ДНС-у). На основу логова биће припремљена бела листа за домене који имају проблема са верификацијом из 3 додатна дата центра. На белу листу ће бити укључени само домени са попуњеним контакт информацијама. Уколико домен није аутоматски уврштен на белу листу, пријава за локал се може послати и путем .
Тренутно је пројекат Лет'с Енцрипт издао 113 милиона сертификата, који покривају око 190 милиона домена (пре годину дана покривено је 150 милиона домена, а пре две године 61 милион). Према статистици сервиса Фирефок Телеметрија, глобални удео захтева за странице преко ХТТПС-а је 81% (пре годину дана 77%, пре две године 69%), ау САД - 91%.
Поред тога, може се приметити Аппле
Престаните да верујете сертификатима у прегледачу Сафари чији животни век прелази 398 дана (13 месеци). Планирано је да се ограничење уведе само за сертификате издате од 1. септембра 2020. године. За сертификате са дугим роком важења примљених пре 1. септембра, поверење ће бити задржано, али ограничено на 825 дана (2.2 године).
Промена може негативно да утиче на пословање сертификационих центара који продају јефтине сертификате са дугим роком важења, до 5 година. Према Аппле-у, генерисање таквих сертификата ствара додатне безбедносне претње, омета брзу примену нових крипто стандарда и омогућава нападачима да контролишу саобраћај жртве дуже време или да га користе за пхисхинг у случају непримећеног цурења сертификата као резултат хаковања.
Извор: опеннет.ру