புரோஹோஸ்டர் > Блог > இணைய செய்தி > வெவ்வேறு சப்நெட்களைப் பயன்படுத்தி சரிபார்ப்புக்கு சுவிட்சுகளை என்க்ரிப்ட் செய்வோம்

வெவ்வேறு சப்நெட்களைப் பயன்படுத்தி சரிபார்ப்புக்கு சுவிட்சுகளை என்க்ரிப்ட் செய்வோம்

இலாப நோக்கற்ற சான்றிதழ் மையம் என்க்ரிப்ட், சமூகத்தால் கட்டுப்படுத்தப்பட்டு அனைவருக்கும் இலவசமாக சான்றிதழ்களை வழங்குதல், அறிவிக்கப்பட்டது ஒரு டொமைனுக்கான சான்றிதழைப் பெறுவதற்கான அதிகாரத்தை உறுதிப்படுத்தும் புதிய திட்டத்தை அறிமுகப்படுத்தியது. சோதனையில் பயன்படுத்தப்படும் “/.well-known/acme-challenge/” கோப்பகத்தை வழங்கும் சேவையகத்தைத் தொடர்புகொள்வது, வெவ்வேறு தரவு மையங்களில் உள்ள மற்றும் வெவ்வேறு தன்னாட்சி அமைப்புகளைச் சேர்ந்த 4 வெவ்வேறு IP முகவரிகளிலிருந்து அனுப்பப்பட்ட பல HTTP கோரிக்கைகளைப் பயன்படுத்தி இப்போது மேற்கொள்ளப்படும். வெவ்வேறு ஐபிகளின் 3 கோரிக்கைகளில் குறைந்தது 4 வெற்றி பெற்றால் மட்டுமே காசோலை வெற்றிகரமாக கருதப்படுகிறது.

பல சப்நெட்களில் இருந்து சரிபார்ப்பது, BGP ஐப் பயன்படுத்தி கற்பனையான வழிகளை மாற்றுவதன் மூலம் போக்குவரத்தை திசைதிருப்பும் இலக்கு தாக்குதல்களை மேற்கொள்வதன் மூலம் வெளிநாட்டு டொமைன்களுக்கான சான்றிதழ்களைப் பெறுவதற்கான அபாயங்களைக் குறைக்க உங்களை அனுமதிக்கும். பல நிலை சரிபார்ப்பு முறையைப் பயன்படுத்தும் போது, ​​ஒரு தாக்குபவர் வெவ்வேறு அப்லிங்க்களைக் கொண்ட வழங்குநர்களின் பல தன்னாட்சி அமைப்புகளுக்கான வழித் திசைதிருப்பலை ஒரே நேரத்தில் அடைய வேண்டும், இது ஒரு வழியைத் திருப்பி விடுவது மிகவும் கடினம். வெவ்வேறு IP களில் இருந்து கோரிக்கைகளை அனுப்புவது, ஒற்றை லெட்ஸ் என்க்ரிப்ட் ஹோஸ்ட்கள் தடுக்கும் பட்டியல்களில் சேர்க்கப்பட்டால் காசோலையின் நம்பகத்தன்மையை அதிகரிக்கும் (உதாரணமாக, ரஷ்ய கூட்டமைப்பில், சில letsencrypt.org IPகள் Roskomnadzor ஆல் தடுக்கப்பட்டது).

ஜூன் 1 வரை, பிற சப்நெட்களில் இருந்து ஹோஸ்ட் அணுக முடியாவிட்டால், முதன்மை தரவு மையத்திலிருந்து வெற்றிகரமான சரிபார்ப்பின் மூலம் சான்றிதழ்களை உருவாக்க அனுமதிக்கும் ஒரு மாற்றம் காலம் இருக்கும் (எடுத்துக்காட்டாக, ஃபயர்வாலில் உள்ள ஹோஸ்ட் நிர்வாகி கோரிக்கைகளை அனுமதித்தால் மட்டுமே இது நிகழலாம். முக்கிய தரவு மையத்தை குறியாக்கம் செய்வோம் அல்லது DNS இல் மண்டல ஒத்திசைவு மீறல்கள் காரணமாக). பதிவுகளின் அடிப்படையில், 3 கூடுதல் தரவு மையங்களிலிருந்து சரிபார்ப்பதில் சிக்கல் உள்ள டொமைன்களுக்கான வெள்ளைப் பட்டியல் தயாரிக்கப்படும். பூர்த்தி செய்யப்பட்ட தொடர்புத் தகவலைக் கொண்ட டொமைன்கள் மட்டுமே வெள்ளைப் பட்டியலில் சேர்க்கப்படும். டொமைன் தானாகவே வெள்ளைப் பட்டியலில் சேர்க்கப்படவில்லை என்றால், வளாகத்திற்கான விண்ணப்பம் வழியாகவும் அனுப்பலாம் சிறப்பு வடிவம்.

தற்போது, ​​லெட்ஸ் என்க்ரிப்ட் திட்டம் சுமார் 113 மில்லியன் டொமைன்களை உள்ளடக்கிய 190 மில்லியன் சான்றிதழ்களை வழங்கியுள்ளது. Firefox Telemetry சேவையின் புள்ளிவிவரங்களின்படி, HTTPS வழியாகப் பக்கக் கோரிக்கைகளின் உலகளாவிய பங்கு 150% (ஒரு வருடம் முன்பு 61%, இரண்டு ஆண்டுகளுக்கு முன்பு 81%), மற்றும் அமெரிக்காவில் - 77%.

கூடுதலாக, அதை கவனிக்க முடியும் எண்ணம் ஆப்பிள்
Safari உலாவியில் 398 நாட்களை (13 மாதங்கள்) மீறும் சான்றிதழ்களை நம்புவதை நிறுத்துங்கள். செப்டம்பர் 1, 2020 முதல் வழங்கப்படும் சான்றிதழ்களுக்கு மட்டுமே கட்டுப்பாடு அறிமுகப்படுத்த திட்டமிடப்பட்டுள்ளது. செப்டம்பர் 1 க்கு முன் பெறப்பட்ட நீண்ட செல்லுபடியாகும் காலத்துடன் கூடிய சான்றிதழ்களுக்கு, நம்பிக்கை தக்கவைக்கப்படும், ஆனால் 825 நாட்களுக்கு (2.2 ஆண்டுகள்) வரையறுக்கப்படும்.

5 ஆண்டுகள் வரை நீண்ட செல்லுபடியாகும் காலத்துடன் மலிவான சான்றிதழ்களை விற்கும் சான்றிதழ் மையங்களின் வணிகத்தை இந்த மாற்றம் எதிர்மறையாக பாதிக்கலாம். ஆப்பிளின் கூற்றுப்படி, அத்தகைய சான்றிதழ்களின் உருவாக்கம் கூடுதல் பாதுகாப்பு அச்சுறுத்தல்களை உருவாக்குகிறது, புதிய கிரிப்டோ தரநிலைகளை விரைவாக செயல்படுத்துவதில் தலையிடுகிறது, மேலும் தாக்குபவர்கள் பாதிக்கப்பட்டவரின் போக்குவரத்தை நீண்ட நேரம் கட்டுப்படுத்த அல்லது கவனிக்கப்படாத சான்றிதழ் கசிவு ஏற்பட்டால் அதை ஃபிஷிங்கிற்கு பயன்படுத்த அனுமதிக்கிறது. ஹேக்கிங்கின் விளைவாக.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்