Non-profit na sentro ng sertipikasyon , kinokontrol ng komunidad at nagbibigay ng mga sertipiko nang walang bayad sa lahat, sa pagpapakilala ng isang bagong pamamaraan para sa pagkumpirma ng awtoridad upang makakuha ng isang sertipiko para sa isang domain. Ang pakikipag-ugnayan sa server na nagho-host ng "/.well-known/acme-challenge/" na direktoryo na ginamit sa pagsubok ay isasagawa na ngayon gamit ang ilang mga kahilingan sa HTTP na ipinadala mula sa 4 na magkakaibang IP address na matatagpuan sa iba't ibang mga data center at kabilang sa iba't ibang mga autonomous system. Ang tseke ay itinuturing na matagumpay lamang kung ang hindi bababa sa 3 sa 4 na mga kahilingan mula sa iba't ibang mga IP ay matagumpay.
Ang pagsuri mula sa ilang mga subnet ay magbibigay-daan sa iyo na mabawasan ang mga panganib ng pagkuha ng mga sertipiko para sa mga dayuhang domain sa pamamagitan ng pagsasagawa ng mga naka-target na pag-atake na nagre-redirect ng trapiko sa pamamagitan ng pagpapalit ng mga fictitious na ruta gamit ang BGP. Kapag gumagamit ng multi-position verification system, kakailanganin ng attacker na magkasabay na makamit ang pag-redirect ng ruta para sa ilang mga autonomous system ng mga provider na may iba't ibang uplink, na mas mahirap kaysa sa pag-redirect ng isang ruta. Ang pagpapadala ng mga kahilingan mula sa iba't ibang IP ay magpapapataas din sa pagiging maaasahan ng pagsusuri kung sakaling ang nag-iisang Let's Encrypt na host ay kasama sa mga listahan ng pagharang (halimbawa, sa Russian Federation, ang ilang letsencrypt.org IP ay na-block ng Roskomnadzor).
Hanggang sa Hunyo 1, magkakaroon ng panahon ng paglipat na magbibigay-daan sa pagbuo ng mga certificate sa matagumpay na pag-verify mula sa pangunahing data center, kung ang host ay hindi maabot mula sa iba pang mga subnet (halimbawa, ito ay maaaring mangyari kung ang host administrator sa firewall ay pinapayagan lamang ang mga kahilingan mula sa ang pangunahing data center ng Let's Encrypt o dahil sa mga paglabag sa pag-synchronize ng zone sa DNS). Batay sa mga log, isang puting listahan ang ihahanda para sa mga domain na may mga problema sa pag-verify mula sa 3 karagdagang data center. Ang mga domain lamang na may kumpletong impormasyon sa pakikipag-ugnayan ang isasama sa puting listahan. Kung ang domain ay hindi awtomatikong kasama sa puting listahan, ang isang aplikasyon para sa mga lugar ay maaari ding ipadala sa pamamagitan ng .
Sa kasalukuyan, ang proyektong Let's Encrypt ay naglabas ng 113 milyong mga sertipiko, na sumasaklaw sa humigit-kumulang 190 milyong mga domain (150 milyong mga domain ang nasaklaw noong nakaraang taon, at 61 milyon dalawang taon na ang nakararaan). Ayon sa mga istatistika mula sa serbisyo ng Firefox Telemetry, ang pandaigdigang bahagi ng mga kahilingan sa pahina sa pamamagitan ng HTTPS ay 81% (isang taon na ang nakalipas 77%, dalawang taon na ang nakalipas 69%), at sa US - 91%.
Bilang karagdagan, maaari itong mapansin Apple
Itigil ang pagtitiwala sa mga certificate sa Safari browser na ang buhay ay lumampas sa 398 araw (13 buwan). Ang paghihigpit ay binalak na ipakilala lamang para sa mga sertipiko na inisyu simula Setyembre 1, 2020. Para sa mga sertipiko na may mahabang panahon ng validity na natanggap bago ang Setyembre 1, pananatilihin ang tiwala, ngunit limitado sa 825 araw (2.2 taon).
Ang pagbabago ay maaaring negatibong makaapekto sa negosyo ng mga sentro ng sertipikasyon na nagbebenta ng murang mga sertipiko na may mahabang panahon ng bisa, hanggang 5 taon. Ayon sa Apple, ang pagbuo ng naturang mga sertipiko ay lumilikha ng mga karagdagang banta sa seguridad, nakakasagabal sa mabilis na pagpapatupad ng mga bagong pamantayan ng crypto at nagbibigay-daan sa mga umaatake na kontrolin ang trapiko ng biktima sa loob ng mahabang panahon o gamitin ito para sa phishing kung sakaling magkaroon ng hindi napapansin na paglabas ng sertipiko bilang isang resulta ng pag-hack.
Pinagmulan: opennet.ru