غیر منافع بخش سرٹیفیکیشن سینٹر کمیونٹی کے زیر کنٹرول اور ہر کسی کو سرٹیفکیٹ مفت فراہم کرنا، ڈومین کے لیے سرٹیفکیٹ حاصل کرنے کے لیے اتھارٹی کی تصدیق کے لیے ایک نئی اسکیم کے تعارف پر۔ اس سرور سے رابطہ کرنا جو ٹیسٹ میں استعمال ہونے والی "/.well-known/acme-challenge/" ڈائرکٹری کی میزبانی کرتا ہے اب مختلف ڈیٹا سینٹرز میں واقع 4 مختلف IP پتوں سے بھیجی گئی متعدد HTTP درخواستوں کا استعمال کرتے ہوئے انجام دیا جائے گا اور مختلف خود مختار نظاموں سے تعلق رکھتے ہیں۔ چیک صرف اس صورت میں کامیاب سمجھا جاتا ہے جب مختلف IPs کی 3 میں سے کم از کم 4 درخواستیں کامیاب ہوں۔
متعدد سب نیٹس سے چیک کرنے سے آپ کو غیر ملکی ڈومینز کے لیے سرٹیفکیٹ حاصل کرنے کے خطرات کو کم کرنے کی اجازت ملے گی تاکہ ہدفی حملے کیے جائیں جو BGP کا استعمال کرتے ہوئے فرضی راستوں کے متبادل کے ذریعے ٹریفک کو ری ڈائریکٹ کرتے ہیں۔ ملٹی پوزیشن ویری فکیشن سسٹم استعمال کرتے وقت، حملہ آور کو بیک وقت مختلف اپ لنکس کے ساتھ فراہم کنندگان کے کئی خود مختار سسٹمز کے لیے روٹ ری ڈائریکشن حاصل کرنے کی ضرورت ہوگی، جو کہ ایک روٹ کو ری ڈائریکٹ کرنے سے کہیں زیادہ مشکل ہے۔ مختلف IPs سے درخواستیں بھیجنے سے اس صورت میں چیک کی وشوسنییتا میں بھی اضافہ ہو جائے گا کہ سنگل Let's Encrypt ہوسٹس کو بلاک کرنے والی فہرستوں میں شامل کیا گیا ہے (مثال کے طور پر، روسی فیڈریشن میں، کچھ letsencrypt.org IPs کو Roskomnadzor نے بلاک کر دیا تھا)۔
1 جون تک، پرائمری ڈیٹا سینٹر سے کامیاب تصدیق کے بعد سرٹیفکیٹ تیار کرنے کی ایک عبوری مدت ہوگی، اگر میزبان دوسرے سب نیٹس سے ناقابل رسائی ہے (مثال کے طور پر، ایسا ہو سکتا ہے اگر فائر وال پر میزبان منتظم صرف ان سے درخواستوں کی اجازت دے مرکزی آئیے ڈیٹا سینٹر کو انکرپٹ کریں یا DNS میں زون سنکرونائزیشن کی خلاف ورزیوں کی وجہ سے)۔ لاگز کی بنیاد پر، ان ڈومینز کے لیے ایک وائٹ لسٹ تیار کی جائے گی جن کو 3 اضافی ڈیٹا سینٹرز سے تصدیق میں دشواری کا سامنا ہے۔ صرف مکمل رابطے کی معلومات والے ڈومین کو سفید فہرست میں شامل کیا جائے گا۔ اگر ڈومین خود بخود وائٹ لسٹ میں شامل نہیں ہوتا ہے، تو احاطے کے لیے درخواست بھی بھیجی جا سکتی ہے۔ .
فی الحال، Let's Encrypt پروجیکٹ نے 113 ملین سرٹیفکیٹس جاری کیے ہیں، جس میں تقریباً 190 ملین ڈومینز شامل ہیں (150 ملین ڈومینز ایک سال پہلے، اور 61 ملین دو سال پہلے)۔ Firefox ٹیلی میٹری سروس کے اعدادوشمار کے مطابق، HTTPS کے ذریعے صفحہ کی درخواستوں کا عالمی حصہ 81% ہے (ایک سال پہلے 77%، دو سال پہلے 69%)، اور امریکہ میں - 91%۔
اس کے علاوہ، یہ نوٹ کیا جا سکتا ہے سیب
سفاری براؤزر میں سرٹیفکیٹس پر بھروسہ کرنا بند کریں جن کی زندگی 398 دن (13 ماہ) سے زیادہ ہے۔ یہ پابندی صرف 1 ستمبر 2020 سے جاری ہونے والے سرٹیفکیٹس کے لیے متعارف کرائے جانے کا منصوبہ ہے۔ 1 ستمبر سے پہلے موصول ہونے والی طویل میعاد کے ساتھ سرٹیفکیٹس کے لیے، اعتماد کو برقرار رکھا جائے گا، لیکن یہ 825 دنوں (2.2 سال) تک محدود ہے۔
یہ تبدیلی سرٹیفیکیشن مراکز کے کاروبار کو منفی طور پر متاثر کر سکتی ہے جو 5 سال تک کی طویل مدت کے ساتھ سستے سرٹیفکیٹ فروخت کرتے ہیں۔ ایپل کے مطابق، اس طرح کے سرٹیفکیٹس کی تخلیق اضافی سیکورٹی خطرات پیدا کرتی ہے، نئے کرپٹو معیارات کے تیزی سے نفاذ میں مداخلت کرتی ہے، اور حملہ آوروں کو ایک طویل عرصے تک متاثرہ کی ٹریفک کو کنٹرول کرنے یا کسی سرٹیفکیٹ کے لیک ہونے کی صورت میں اسے فشنگ کے لیے استعمال کرنے کی اجازت دیتا ہے۔ ہیکنگ کا نتیجہ.
ماخذ: opennet.ru