Kâr amacı gütmeyen sertifikasyon merkezi
Birkaç alt ağdan kontrol yapmak, BGP kullanarak hayali rotaların değiştirilmesi yoluyla trafiği yeniden yönlendiren hedefli saldırılar gerçekleştirerek yabancı alan adları için sertifika alma risklerini en aza indirmenize olanak tanır. Çok konumlu bir doğrulama sistemi kullanıldığında, bir saldırganın, farklı yukarı bağlantılara sahip sağlayıcılardan oluşan birkaç otonom sistem için eşzamanlı olarak rota yeniden yönlendirmeyi gerçekleştirmesi gerekecektir; bu, tek bir rotayı yeniden yönlendirmekten çok daha zordur. Farklı IP'lerden istek göndermek, tek Let's Encrypt ana bilgisayarlarının engelleme listelerine dahil edilmesi durumunda da kontrolün güvenilirliğini artıracaktır (örneğin, Rusya Federasyonu'nda bazı letsencrypt.org IP'leri Roskomnadzor tarafından engellenmiştir).
1 Haziran'a kadar, ana makineye diğer alt ağlardan erişilemiyorsa, birincil veri merkezinden başarılı bir doğrulamanın ardından sertifikaların oluşturulmasına izin veren bir geçiş dönemi olacaktır (örneğin, güvenlik duvarındaki ana bilgisayar yöneticisi yalnızca ana Let's Encrypt veri merkezi veya DNS'deki bölge senkronizasyonu ihlalleri nedeniyle). Loglara göre 3 ek veri merkezinden doğrulama sorunu yaşayan domainler için beyaz liste hazırlanacak. Yalnızca iletişim bilgileri tamamlanmış alan adları beyaz listeye dahil edilecektir. Alan adı otomatik olarak beyaz listeye dahil değilse, tesis başvurusu da şu adresten gönderilebilir:
Şu anda Let's Encrypt projesi, yaklaşık 113 milyon alanı kapsayan 190 milyon sertifika yayınladı (bir yıl önce 150 milyon alan ve iki yıl önce 61 milyon alan kapsanıyordu). Firefox Telemetri hizmetinden alınan istatistiklere göre, HTTPS üzerinden sayfa isteklerinin küresel payı %81 (bir yıl önce %77, iki yıl önce %69) ve ABD'de %91'dir.
Ek olarak not edilebilir
Safari tarayıcısında kullanım ömrü 398 günü (13 ay) aşan sertifikalara güvenmeyi bırakın. Kısıtlamanın yalnızca 1 Eylül 2020'den itibaren verilen sertifikalar için getirilmesi planlanıyor. 1 Eylül'den önce alınan uzun geçerlilik süresine sahip sertifikalar için güven korunacaktır ancak 825 günle (2.2 yıl) sınırlıdır.
Değişiklik, 5 yıla kadar geçerlilik süresi uzun olan ucuz sertifikalar satan sertifika merkezlerinin işlerini olumsuz etkileyebilir. Apple'a göre, bu tür sertifikaların oluşturulması ek güvenlik tehditleri yaratıyor, yeni kripto standartlarının hızlı bir şekilde uygulanmasına müdahale ediyor ve saldırganların kurbanın trafiğini uzun süre kontrol etmesine veya fark edilmeyen bir sertifika sızıntısı durumunda bunu kimlik avı için kullanmasına olanak tanıyor. hacklemenin bir sonucu.
Kaynak: opennet.ru