Некомерційний центр посвідчення , контрольований спільнотою і надає сертифікати безкоштовно всім бажаючим, про впровадження нової схеми – підтвердження повноважень на отримання сертифікату для домену. Звернення до сервера, на якому розміщений каталог «/.well-known/acme-challenge/», що використовується в перевірки, тепер буде здійснюватися з використанням декількох HTTP-запитів, що надсилаються з 4 різних IP-адрес, розміщених у різних датацентрах і належать до різних автономних систем. Перевірка визнається успішною тільки якщо мінімум 3 з 4 запитів з різних IP виявилися успішними.
Перевірка з кількох підмереж дозволить мінімізувати ризики отримання сертифікатів на чужі домени шляхом цільових атак, що перенаправляють трафік через підстановку фіктивних маршрутів за допомогою BGP. При використанні багатопозиційної системи перевірки атакувальному потрібно одночасно домогтися перенаправлення маршрутів для декількох автономних систем провайдерів з різними аплінками, що значно складніше, ніж перенаправлення одиничного маршруту. Відправлення запитів з різних IP також підвищить надійність перевірки у разі попадання одиничних хостів Let's Encrypt до списків блокування (наприклад, в РФ деякі IP letsencrypt.org потрапляли під блокування Роскомнагляду).
До 1 червня діятиме перехідний період, що допускає генерацію сертифікатів при успішному проходженні перевірки з первинного датацентру, при недоступності хоста з інших підмереж порушення синхронізації зон у DNS). На основі логів буде підготовлено білий список для доменів, які мають проблеми з перевіркою з 3 додаткових датацентрів. У білий список потраплять лише домени із заповненими контактними даними. У випадку, якщо домен не потрапив у білий список, автоматично заявку на приміщення також можна надіслати через .
В даний час проектом Let's Encrypt видано 113 млн. сертифікатів, що охоплюють близько 190 млн. доменів (рік тому було охоплено 150 млн. доменів, а два роки тому — 61 млн.). За статистикою сервісу Firefox Telemetry, загальносвітова частка запитів сторінок по HTTPS становить 81% (рік тому 77%, два роки тому 69%), а в США — 91%.
Додатково можна зазначити, компанії Apple
припинити у браузері Safari довіру до сертифікатів, час життя яких перевищує 398 днів (13 місяців). Обмеження планується запровадити лише для сертифікатів, виписаних починаючи з 1 вересня 2020 року. Для отриманих до 1 вересня сертифікатів із тривалим терміном дії довіра буде збережена, але обмежена 825 днями (2.2 роки).
Зміна може негативно позначитися на бізнесі центрів, що посвідчують, що продають дешеві сертифікати з тривалим терміном дії, що доходить до 5 років. На думку Apple, генерація подібних сертифікатів створює додаткові загрози безпеці, заважає оперативному впровадженню нових криптостандартів і дозволяє зловмисникам тривалий час контролювати трафік жертви або використовувати для фішингу у разі непомітного витоку сертифіката внаслідок злому.
Джерело: opennet.ru