Kituo cha uthibitisho kisicho cha faida , kudhibitiwa na jumuiya na kutoa vyeti bila malipo kwa kila mtu, juu ya kuanzishwa kwa mpango mpya wa kuthibitisha mamlaka ya kupata cheti cha kikoa. Kuwasiliana na seva inayopangisha saraka ya "/.well-known/acme-challenge/" inayotumiwa kwenye jaribio sasa itatekelezwa kwa kutumia maombi kadhaa ya HTTP yaliyotumwa kutoka kwa anwani 4 tofauti za IP zilizo katika vituo tofauti vya data na zinazomilikiwa na mifumo tofauti inayojitegemea. Hundi inachukuliwa kuwa imefaulu ikiwa tu angalau maombi 3 kati ya 4 kutoka kwa IP tofauti yatafaulu.
Kukagua kutoka kwa subnets kadhaa kutakuruhusu kupunguza hatari za kupata vyeti vya vikoa vya kigeni kwa kutekeleza mashambulio yaliyolengwa ambayo huelekeza trafiki kupitia ubadilishanaji wa njia za uwongo kwa kutumia BGP. Unapotumia mfumo wa uthibitishaji wa nafasi nyingi, mshambulizi atahitaji kufikia uelekezaji upya wa njia kwa wakati mmoja kwa mifumo kadhaa inayojitegemea ya watoa huduma walio na viunga tofauti vya juu, ambayo ni ngumu zaidi kuliko kuelekeza upya njia moja. Kutuma maombi kutoka kwa IPs tofauti pia kutaongeza kuegemea kwa hundi katika tukio ambalo majeshi moja ya Let's Encrypt yanajumuishwa katika orodha za kuzuia (kwa mfano, katika Shirikisho la Urusi, baadhi ya IP za letsencrypt.org zilizuiwa na Roskomnadzor).
Hadi tarehe 1 Juni, kutakuwa na kipindi cha mpito kitakachoruhusu uundaji wa vyeti baada ya uthibitishaji uliofaulu kutoka kwa kituo cha data cha msingi, ikiwa seva pangishi haiwezi kufikiwa na subnets nyingine (kwa mfano, hii inaweza kutokea ikiwa msimamizi kwenye ngome ataruhusu maombi kutoka kituo kikuu cha Hebu Tusimbe kwa Njia Fiche au kwa sababu ukiukaji wa upatanishi wa eneo katika DNS). Kulingana na kumbukumbu, orodha nyeupe itatayarishwa kwa vikoa ambavyo vina matatizo na uthibitishaji kutoka kwa vituo 3 vya ziada vya data. Vikoa vilivyo na taarifa kamili za mawasiliano pekee ndivyo vitajumuishwa kwenye orodha nyeupe. Ikiwa kikoa hakijajumuishwa kiotomatiki kwenye orodha nyeupe, ombi la majengo pia linaweza kutumwa kupitia .
Hivi sasa, mradi wa Let's Encrypt umetoa vyeti milioni 113, vinavyoshughulikia takriban vikoa milioni 190 (vikoa milioni 150 vilishughulikiwa mwaka mmoja uliopita, na milioni 61 miaka miwili iliyopita). Kulingana na takwimu kutoka kwa huduma ya Firefox Telemetry, sehemu ya kimataifa ya maombi ya ukurasa kupitia HTTPS ni 81% (mwaka mmoja uliopita 77%, miaka miwili iliyopita 69%), na Marekani - 91%.
Kwa kuongeza, inaweza kuzingatiwa Apple
Acha kuamini vyeti katika kivinjari cha Safari ambacho maisha yake yanazidi siku 398 (miezi 13). Kizuizi kimepangwa kuletwa kwa vyeti vilivyotolewa tu kuanzia Septemba 1, 2020. Kwa vyeti vilivyo na muda mrefu wa uhalali uliopokewa kabla ya Septemba 1, uaminifu utahifadhiwa, lakini pekee kwa siku 825 (miaka 2.2).
Mabadiliko hayo yanaweza kuathiri vibaya biashara ya vituo vya uthibitishaji vinavyouza vyeti vya bei nafuu vilivyo na muda mrefu wa uhalali, hadi miaka 5. Kulingana na Apple, utengenezaji wa cheti kama hicho husababisha vitisho vya ziada vya usalama, huingilia utekelezwaji wa haraka wa viwango vipya vya crypto na huruhusu washambuliaji kudhibiti trafiki ya mwathiriwa kwa muda mrefu au kuitumia kwa ulaghai katika tukio la uvujaji wa cheti bila kutambuliwa. matokeo ya hacking.
Chanzo: opennet.ru