Notijorat sertifikatlashtirish markazi , hamjamiyat tomonidan nazorat qilinadi va barchaga bepul sertifikatlar beradi, domen uchun sertifikat olish vakolatini tasdiqlashning yangi sxemasini joriy etish to'g'risida. Sinovda foydalanilgan “/.well-known/acme-challenge/” katalogiga ega server bilan bog‘lanish endi turli ma’lumotlar markazlarida joylashgan va turli avtonom tizimlarga tegishli bo‘lgan 4 xil IP-manzildan yuborilgan bir nechta HTTP so‘rovlari yordamida amalga oshiriladi. Agar turli IP-lardan kamida 3 ta so'rov muvaffaqiyatli bo'lsa, tekshirish muvaffaqiyatli hisoblanadi.
Bir nechta pastki tarmoqlardan tekshirish sizga BGP yordamida xayoliy marshrutlarni almashtirish orqali trafikni yo'naltiruvchi maqsadli hujumlarni amalga oshirish orqali xorijiy domenlar uchun sertifikatlar olish xavfini kamaytirishga imkon beradi. Ko'p pozitsiyali tekshirish tizimidan foydalanganda, tajovuzkor bir vaqtning o'zida turli xil yuqoriga ulanishga ega provayderlarning bir nechta avtonom tizimlari uchun marshrutni qayta yo'naltirishga erishishi kerak bo'ladi, bu bitta marshrutni qayta yo'naltirishdan ko'ra ancha qiyin. Bitta Let's Encrypt xostlari blokirovkalar ro'yxatiga kiritilgan taqdirda (masalan, Rossiya Federatsiyasida ba'zi letsencrypt.org IP-lari Roskomnadzor tomonidan bloklangan) turli xil IP-lardan so'rovlarni yuborish tekshirishning ishonchliligini oshiradi.
1-iyunga qadar, agar xostga boshqa quyi tarmoqlardan kirish imkoni boʻlmasa, asosiy maʼlumotlar markazidan muvaffaqiyatli tekshirilgandan soʻng sertifikatlarni yaratishga ruxsat beruvchi oʻtish davri boʻladi (masalan, xavfsizlik devoridagi xost administratori soʻrovlarga faqat shulardan ruxsat bergan boʻlsa, bu sodir boʻlishi mumkin. asosiy Let's Encrypt ma'lumotlar markazi yoki DNS-da zona sinxronizatsiyasi buzilganligi sababli). Jurnallar asosida 3 ta qo'shimcha ma'lumot markazlaridan tekshirishda muammolarga duch kelgan domenlar uchun oq ro'yxat tayyorlanadi. Oq ro'yxatga faqat kontakt ma'lumotlari to'ldirilgan domenlar kiritiladi. Agar domen avtomatik ravishda oq ro'yxatga kiritilmagan bo'lsa, binolar uchun ariza orqali ham yuborilishi mumkin .
Hozirda Let's Encrypt loyihasi 113 millionga yaqin domenni qamrab oluvchi 190 million sertifikat chiqardi (bir yil oldin 150 million domen, ikki yil avval esa 61 million domen qamrab olingan). Firefox Telemetry xizmatining statistik ma'lumotlariga ko'ra, HTTPS orqali sahifa so'rovlarining global ulushi 81% (bir yil oldin - 77%, ikki yil oldin - 69%), AQShda esa - 91%.
Bundan tashqari, buni ta'kidlash mumkin olma
Safari brauzerida ishlash muddati 398 kundan (13 oy) oshgan sertifikatlarga ishonishni to'xtating. Cheklov faqat 1-yil 2020-sentabrdan boshlab beriladigan sertifikatlar uchun joriy etilishi rejalashtirilgan. 1-sentabrgacha olingan uzoq amal qilish muddatiga ega sertifikatlar uchun ishonch saqlanib qoladi, lekin 825 kun (2.2 yil) bilan cheklanadi.
O‘zgartirish amal qilish muddati uzoq, 5 yilgacha bo‘lgan arzon sertifikatlarni sotuvchi sertifikatlashtirish markazlari faoliyatiga salbiy ta’sir ko‘rsatishi mumkin. Apple kompaniyasining fikriga ko'ra, bunday sertifikatlarning yaratilishi qo'shimcha xavfsizlik tahdidlarini keltirib chiqaradi, yangi kripto-standartlarning tezkor joriy etilishiga xalaqit beradi va tajovuzkorlarga uzoq vaqt davomida jabrlanuvchi trafigini nazorat qilish yoki e'tiborsiz sertifikat sizib chiqqan taqdirda uni fishing uchun ishlatish imkonini beradi. xakerlik natijasida.
Manba: opennet.ru