โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > มาเข้ารหัสสลับไปใช้การตรวจสอบโดยใช้เครือข่ายย่อยที่แตกต่างกัน

มาเข้ารหัสสลับไปใช้การตรวจสอบโดยใช้เครือข่ายย่อยที่แตกต่างกัน

ศูนย์รับรองที่ไม่แสวงหาผลกำไร ขอเข้ารหัสควบคุมโดยชุมชนและมอบใบรับรองให้ฟรีแก่ทุกคน ประกาศ เกี่ยวกับการแนะนำรูปแบบใหม่ในการยืนยันอำนาจในการรับใบรับรองสำหรับโดเมน การติดต่อเซิร์ฟเวอร์ที่โฮสต์ไดเรกทอรี “/.well-known/acme-challenge/” ที่ใช้ในการทดสอบจะดำเนินการโดยใช้คำขอ HTTP หลายรายการที่ส่งจากที่อยู่ IP ที่แตกต่างกัน 4 แห่งที่อยู่ในศูนย์ข้อมูลที่แตกต่างกันและเป็นของระบบอิสระที่แตกต่างกัน การตรวจสอบจะถือว่าสำเร็จก็ต่อเมื่อมีคำขออย่างน้อย 3 ใน 4 รายการจาก IP ที่แตกต่างกันสำเร็จ

การตรวจสอบจากเครือข่ายย่อยหลายแห่งจะช่วยให้คุณลดความเสี่ยงในการได้รับใบรับรองสำหรับโดเมนต่างประเทศโดยการโจมตีแบบกำหนดเป้าหมายซึ่งเปลี่ยนเส้นทางการรับส่งข้อมูลผ่านการทดแทนเส้นทางสมมติโดยใช้ BGP เมื่อใช้ระบบการตรวจสอบหลายตำแหน่ง ผู้โจมตีจะต้องบรรลุการเปลี่ยนเส้นทางเส้นทางสำหรับระบบอัตโนมัติหลายระบบของผู้ให้บริการที่มีอัปลิงก์ต่างกันไปพร้อมๆ กัน ซึ่งยากกว่าการเปลี่ยนเส้นทางเส้นทางเดียวมาก การส่งคำขอจาก IP ที่แตกต่างกันจะช่วยเพิ่มความน่าเชื่อถือของการตรวจสอบในกรณีที่โฮสต์ Let's Encrypt เดียวรวมอยู่ในรายการบล็อก (เช่น ในสหพันธรัฐรัสเซีย IP ของ Letsencrypt.org บางรายการถูกบล็อกโดย Roskomnadzor)

จนถึงวันที่ 1 มิถุนายน จะมีช่วงการเปลี่ยนแปลงที่อนุญาตให้สร้างใบรับรองเมื่อการตรวจสอบสำเร็จจากศูนย์ข้อมูลหลัก หากโฮสต์ไม่สามารถเข้าถึงได้จากซับเน็ตอื่นๆ (เช่น กรณีนี้อาจเกิดขึ้นได้หากผู้ดูแลระบบโฮสต์บนไฟร์วอลล์อนุญาตคำขอจากเท่านั้น หลัก มาเข้ารหัสศูนย์ข้อมูลกันเถอะ หรือเพราะว่าการละเมิดการซิงโครไนซ์โซนใน DNS) ตามบันทึก จะมีการเตรียมไวท์ลิสต์สำหรับโดเมนที่มีปัญหาในการตรวจสอบยืนยันจากศูนย์ข้อมูลเพิ่มเติมอีก 3 แห่ง เฉพาะโดเมนที่มีข้อมูลติดต่อครบถ้วนเท่านั้นที่จะรวมอยู่ในรายการสีขาว หากโดเมนไม่รวมอยู่ในไวท์ลิสต์โดยอัตโนมัติ ก็สามารถส่งใบสมัครขอสถานที่ผ่านทางได้เช่นกัน แบบฟอร์มพิเศษ.

ปัจจุบัน โครงการ Let's Encrypt ได้ออกใบรับรองแล้ว 113 ล้านใบ ครอบคลุมประมาณ 190 ล้านโดเมน (ครอบคลุม 150 ล้านโดเมนเมื่อปีที่แล้ว และ 61 ล้านเมื่อสองปีก่อน) ตามสถิติจากบริการ Firefox Telemetry ส่วนแบ่งคำขอเพจทั่วโลกผ่าน HTTPS คือ 81% (ปีที่แล้ว 77% สองปีที่แล้ว 69%) และในสหรัฐอเมริกา - 91%

นอกจากนี้ยังสามารถสังเกตได้ เจตนา แอปเปิล
หยุดการเชื่อถือใบรับรองในเบราว์เซอร์ Safari ที่มีอายุการใช้งานเกิน 398 วัน (13 เดือน) ข้อจำกัดนี้มีแผนจะเริ่มใช้กับใบรับรองที่ออกตั้งแต่วันที่ 1 กันยายน 2020 เท่านั้น สำหรับใบรับรองที่มีระยะเวลาใช้งานได้นานซึ่งได้รับก่อนวันที่ 1 กันยายน ความน่าเชื่อถือจะยังคงอยู่ แต่จำกัดไว้ที่ 825 วัน (2.2 ปี)

การเปลี่ยนแปลงดังกล่าวอาจส่งผลเสียต่อธุรกิจศูนย์รับรองที่จำหน่ายใบรับรองราคาถูกซึ่งมีอายุการใช้งานยาวนานถึง 5 ปี จากข้อมูลของ Apple การสร้างใบรับรองดังกล่าวจะสร้างภัยคุกคามความปลอดภัยเพิ่มเติม รบกวนการนำมาตรฐานการเข้ารหัสลับใหม่ไปใช้อย่างรวดเร็ว และช่วยให้ผู้โจมตีสามารถควบคุมการรับส่งข้อมูลของเหยื่อได้เป็นเวลานาน หรือใช้เพื่อการฟิชชิ่งในกรณีที่ใบรับรองรั่วไหลโดยไม่มีใครสังเกตเห็น อันเป็นผลมาจากการแฮ็ก

ที่มา: opennet.ru

เพิ่มความคิดเห็น