Puseur sertifikasi nirlaba , dikawasa ku masarakat sareng nyayogikeun sertipikat gratis ka sadayana, dina bubuka skéma anyar pikeun otoritas confirming pikeun ménta sertipikat pikeun domain a. Ngahubungan server nu sarwa "/. well-dipikawanoh / acme-challenge /" diréktori dipaké dina tés ayeuna bakal dilaksanakeun ngagunakeun sababaraha requests HTTP dikirim ti 4 alamat IP béda lokasina di puseur data béda jeung milik sistem otonom béda. Cék dianggap suksés ngan upami sahenteuna 3 tina 4 pamundut ti IP anu béda suksés.
Mariksa tina sababaraha subnet bakal ngamungkinkeun anjeun ngaminimalkeun résiko kéngingkeun sertipikat pikeun domain asing ku ngalaksanakeun serangan anu ditargetkeun anu alihan lalu lintas ngalangkungan substitusi rute fiktif nganggo BGP. Nalika nganggo sistem verifikasi multi-posisi, panyerang kedah sakaligus ngahontal alihan rute pikeun sababaraha sistem otonom panyadia sareng uplink anu béda, anu langkung hese tibatan alihan hiji rute. Ngirim pamundut ti IP anu béda ogé bakal ningkatkeun réliabilitas cek upami host Let's Encrypt tunggal kalebet dina daptar blokir (contona, di Féderasi Rusia, sababaraha IP letsencrypt.org diblokir ku Roskomnadzor).
Nepi ka 1 Juni, bakal aya periode transisi ngamungkinkeun generasi sertipikat kana verifikasi suksés ti puseur data primér, lamun host teh unreachable ti subnets séjén (contona, ieu bisa lumangsung lamun administrator host dina firewall diwenangkeun requests ngan ti. pusat data Hayu Encrypt utama atanapi kusabab palanggaran sinkronisasi zona dina DNS). Dumasar kana log, daptar bodas bakal disiapkeun pikeun domain anu gaduh masalah sareng verifikasi ti 3 pusat data tambahan. Ngan domain kalawan informasi kontak réngsé bakal kaasup dina daptar bodas. Lamun domain teu otomatis kaasup dina daptar bodas, hiji aplikasi pikeun enggon ogé bisa dikirim via .
Ayeuna, proyék Let's Encrypt parantos ngaluarkeun 113 juta sertipikat, nyertakeun sakitar 190 juta domain (150 juta domain katutupan sataun katukang, sareng 61 juta dua taun ka pengker). Numutkeun statistik tina jasa Firefox Telemetry, pangsa global pamundut halaman via HTTPS nyaéta 81% (sataun katukang 77%, dua taun ka pengker 69%), sareng di AS - 91%.
Sajaba ti éta, bisa dicatet apel
Eureun percanten ka sertipikat dina browser Safari anu umurna langkung ti 398 dinten (13 bulan). Watesan éta rencanana bakal diwanohkeun ngan ukur pikeun sertipikat anu dikaluarkeun ti 1 Séptémber 2020. Pikeun sertipikat sareng periode validitas panjang anu ditampi sateuacan 1 Séptémber, kapercayaan bakal dipikagaduh, tapi dugi ka 825 dinten (2.2 taun).
Parobihan éta tiasa mangaruhan négatip kana bisnis pusat sertifikasi anu ngajual sertipikat murah kalayan periode validitas anu panjang, dugi ka 5 taun. Numutkeun Apple, generasi sertipikat sapertos nyiptakeun ancaman kaamanan tambahan, ngaganggu palaksanaan gancang standar crypto anyar, sareng ngamungkinkeun panyerang ngadalikeun lalu lintas korban kanggo waktos anu lami atanapi nganggo éta pikeun phishing upami aya sertipikat bocor anu teu dipikanyaho. hasilna Hacking.
sumber: opennet.ru