Otoritas sertifikasi nirlaba , dikawasa ku masarakat sareng nyayogikeun sertipikat gratis ka saha waé anu hoyong, Ngeunaan palaksanaan skéma anyar pikeun mastikeun otoritas pikeun kéngingkeun sertipikat domain. Aksés ka server anu ngalayanan diréktori "/.well-known/acme-challenge/" anu dianggo pikeun verifikasi ayeuna bakal dilakukeun nganggo sababaraha pamundut HTTP anu dikirim ti opat alamat IP anu béda anu aya di pusat data anu béda sareng kagolong kana sistem otonom anu béda. Verifikasi dianggap suksés ngan upami sahenteuna tilu tina opat pamundut ti alamat IP anu béda suksés.
Verifikasi ti sababaraha subnet bakal ngaminimalkeun résiko kéngingkeun sertipikat pikeun domain sanés ku cara ngalaksanakeun serangan anu ditujukeun anu ngarahkeun lalulintas ngalangkungan rute palsu nganggo BGP. Ngagunakeun sistem verifikasi multi-titik, panyerang kedah ngarahkeun rute sacara simultan pikeun sababaraha sistem otonom panyadia kalayan uplink anu béda, anu sacara signifikan langkung sesah tibatan ngarahkeun hiji rute. Ngirim pamundut ti IP anu béda ogé bakal ningkatkeun reliabilitas verifikasi upami host Let's Encrypt individu diblokir (contona, di Rusia, sababaraha IP letsencrypt.org diblokir ku Roskomnadzor).
Nepi ka tanggal 1 Juni, bakal aya période transisi, anu ngamungkinkeun generasi sertipikat saatos verifikasi anu suksés ti pusat data primér, atanapi upami host henteu sayogi ti subnet anu sanés (contona, ieu tiasa kajantenan upami administrator host ngan ukur ngijinkeun pamundut ti pusat data Let's Encrypt primér dina firewall, atanapi kusabab masalah sinkronisasi zona DNS). Dumasar kana log, daptar bodas bakal didamel pikeun domain anu ngalaman masalah verifikasi ti tilu pusat data tambahan. Ngan domain anu gaduh inpormasi kontak anu lengkep anu bakal dibodaskeun. Upami domain henteu otomatis dibodaskeun, pamundut pikeun panempatan ogé tiasa dikintunkeun ngalangkungan .
Ayeuna, proyék Let's Encrypt parantos ngaluarkeun 113 juta sertipikat, anu ngawengku sakitar 190 juta domain (naék ti 150 juta taun kamari sareng 61 juta dua taun ka pengker). Numutkeun Firefox Telemetry, pangsa global pamundut halaman HTTPS nyaéta 81% (77% taun kamari sareng 69% dua taun ka pengker), sareng 91% di AS.
Sajaba ti éta, bisa dicatet Pausahaan Apple
Eureunkeun percanten ka sertipikat anu umurna langkung ti 398 dinten (13 bulan) dina panyungsi Safari. Larangan ieu direncanakeun ngan ukur diterapkeun ka sertipikat anu dikaluarkeun saatos 1 Séptémber 2020. Pikeun sertipikat jangka panjang anu dikaluarkeun sateuacan 1 Séptémber, kapercayaan bakal dijaga, tapi diwatesan dugi ka 825 dinten (2.2 taun).
Parobihan ieu tiasa mangaruhan négatif kana bisnis otoritas sertifikasi anu ngajual sertipikat murah kalayan periode validitas anu panjang dugi ka lima taun. Numutkeun Apple, ngahasilkeun sertipikat sapertos kitu nyiptakeun ancaman kaamanan tambahan, ngahalangan palaksanaan standar kriptografi énggal anu gancang, sareng ngamungkinkeun panyerang pikeun ngawas lalu lintas korban salami waktos anu lami atanapi nganggo éta pikeun phishing upami sertipikat henteu kadeteksi sareng bocor salaku hasil tina hack.
sumber: opennet.ru
