Kâr amacı gütmeyen sertifikasyon merkezi Topluluk tarafından kontrol edilen ve herkese ücretsiz sertifika sağlayan, Bir alan adı için sertifika alma yetkisinin onaylanmasına yönelik yeni bir planın uygulamaya konması hakkında. Testte kullanılan “/.well-known/acme-challenge/” dizinini barındıran sunucuyla iletişim artık farklı veri merkezlerinde bulunan ve farklı otonom sistemlere ait 4 farklı IP adresinden gönderilen birkaç HTTP isteği kullanılarak gerçekleştirilecek. Kontrol, yalnızca farklı IP'lerden gelen 3 istekten en az 4'ünün başarılı olması durumunda başarılı sayılır.
Birkaç alt ağdan kontrol yapmak, BGP kullanarak hayali rotaların değiştirilmesi yoluyla trafiği yeniden yönlendiren hedefli saldırılar gerçekleştirerek yabancı alan adları için sertifika alma risklerini en aza indirmenize olanak tanır. Çok konumlu bir doğrulama sistemi kullanıldığında, bir saldırganın, farklı yukarı bağlantılara sahip sağlayıcılardan oluşan birkaç otonom sistem için eşzamanlı olarak rota yeniden yönlendirmeyi gerçekleştirmesi gerekecektir; bu, tek bir rotayı yeniden yönlendirmekten çok daha zordur. Farklı IP'lerden istek göndermek, tek Let's Encrypt ana bilgisayarlarının engelleme listelerine dahil edilmesi durumunda da kontrolün güvenilirliğini artıracaktır (örneğin, Rusya Federasyonu'nda bazı letsencrypt.org IP'leri Roskomnadzor tarafından engellenmiştir).
1 Haziran'a kadar, ana makineye diğer alt ağlardan erişilemiyorsa, birincil veri merkezinden başarılı bir doğrulamanın ardından sertifikaların oluşturulmasına izin veren bir geçiş dönemi olacaktır (örneğin, güvenlik duvarındaki ana bilgisayar yöneticisi yalnızca ana Let's Encrypt veri merkezi veya DNS'deki bölge senkronizasyonu ihlalleri nedeniyle). Loglara göre 3 ek veri merkezinden doğrulama sorunu yaşayan domainler için beyaz liste hazırlanacak. Yalnızca iletişim bilgileri tamamlanmış alan adları beyaz listeye dahil edilecektir. Alan adı otomatik olarak beyaz listeye dahil değilse, tesis başvurusu da şu adresten gönderilebilir: .
Şu anda Let's Encrypt projesi, yaklaşık 113 milyon alanı kapsayan 190 milyon sertifika yayınladı (bir yıl önce 150 milyon alan ve iki yıl önce 61 milyon alan kapsanıyordu). Firefox Telemetri hizmetinden alınan istatistiklere göre, HTTPS üzerinden sayfa isteklerinin küresel payı %81 (bir yıl önce %77, iki yıl önce %69) ve ABD'de %91'dir.
Ek olarak not edilebilir Elma
Safari tarayıcısında kullanım ömrü 398 günü (13 ay) aşan sertifikalara güvenmeyi bırakın. Kısıtlamanın yalnızca 1 Eylül 2020'den itibaren verilen sertifikalar için getirilmesi planlanıyor. 1 Eylül'den önce alınan uzun geçerlilik süresine sahip sertifikalar için güven korunacaktır ancak 825 günle (2.2 yıl) sınırlıdır.
Değişiklik, 5 yıla kadar geçerlilik süresi uzun olan ucuz sertifikalar satan sertifika merkezlerinin işlerini olumsuz etkileyebilir. Apple'a göre, bu tür sertifikaların oluşturulması ek güvenlik tehditleri yaratıyor, yeni kripto standartlarının hızlı bir şekilde uygulanmasına müdahale ediyor ve saldırganların kurbanın trafiğini uzun süre kontrol etmesine veya fark edilmeyen bir sertifika sızıntısı durumunda bunu kimlik avı için kullanmasına olanak tanıyor. hacklemenin bir sonucu.
Kaynak: opennet.ru