Ideellt certifieringscenter
Genom att kontrollera från flera undernät kan du minimera riskerna med att erhålla certifikat för utländska domäner genom att utföra riktade attacker som omdirigerar trafik genom att ersätta fiktiva rutter med BGP. När du använder ett verifieringssystem med flera positioner måste en angripare samtidigt uppnå ruttomdirigering för flera autonoma system av leverantörer med olika upplänkar, vilket är mycket svårare än att omdirigera en enskild rutt. Att skicka förfrågningar från olika IP-adresser kommer också att öka tillförlitligheten för kontrollen i händelse av att enstaka Let's Encrypt-värdar ingår i blockeringslistor (till exempel i Ryska federationen blockerades vissa letsencrypt.org-IP:er av Roskomnadzor).
Fram till den 1 juni kommer det att finnas en övergångsperiod som tillåter generering av certifikat vid lyckad verifiering från det primära datacentret, om värden inte kan nås från andra undernät (det kan till exempel hända om värdadministratören på brandväggen endast tillåter förfrågningar från huvuddatacentret Let's Encrypt eller på grund av zonsynkroniseringsbrott i DNS). Baserat på loggarna kommer en vit lista att upprättas för domäner som har problem med verifiering från ytterligare 3 datacenter. Endast domäner med ifylld kontaktinformation kommer att inkluderas i den vita listan. Om domänen inte automatiskt finns med i den vita listan kan även en ansökan om lokal skickas via
För närvarande har Let's Encrypt-projektet utfärdat 113 miljoner certifikat, som täcker cirka 190 miljoner domäner (150 miljoner domäner täcktes för ett år sedan och 61 miljoner för två år sedan). Enligt statistik från Firefox Telemetry-tjänsten är den globala andelen sidförfrågningar via HTTPS 81% (för ett år sedan 77%, för två år sedan 69%) och i USA - 91%.
Dessutom kan det noteras
Sluta lita på certifikat i webbläsaren Safari vars livslängd överstiger 398 dagar (13 månader). Begränsningen är planerad att införas endast för certifikat utfärdade från och med den 1 september 2020. För certifikat med lång giltighetstid som tagits emot före 1 september kommer förtroendet att behållas, men begränsat till 825 dagar (2.2 år).
Förändringen kan påverka verksamheten negativt för certifieringscenter som säljer billiga certifikat med lång giltighetstid, upp till 5 år. Enligt Apple skapar genereringen av sådana certifikat ytterligare säkerhetshot, stör den snabba implementeringen av nya kryptostandarder och tillåter angripare att kontrollera offrets trafik under lång tid eller använda den för nätfiske i händelse av en obemärkt certifikatläcka som ett resultat av hacking.
Källa: opennet.ru