Trung tâm chứng nhận phi lợi nhuận , do cộng đồng kiểm soát và cung cấp chứng chỉ miễn phí cho mọi người, về việc giới thiệu một chương trình mới để xác nhận quyền cấp chứng chỉ cho một tên miền. Việc liên hệ với máy chủ lưu trữ thư mục “/.well-known/acme-challenge/” được sử dụng trong thử nghiệm giờ đây sẽ được thực hiện bằng cách sử dụng một số yêu cầu HTTP được gửi từ 4 địa chỉ IP khác nhau nằm ở các trung tâm dữ liệu khác nhau và thuộc các hệ thống tự trị khác nhau. Việc kiểm tra chỉ được coi là thành công nếu có ít nhất 3 trong số 4 yêu cầu từ các IP khác nhau thành công.
Việc kiểm tra từ một số mạng con sẽ cho phép bạn giảm thiểu rủi ro khi lấy chứng chỉ cho tên miền nước ngoài bằng cách thực hiện các cuộc tấn công có chủ đích nhằm chuyển hướng lưu lượng truy cập thông qua việc thay thế các tuyến đường hư cấu bằng BGP. Khi sử dụng hệ thống xác minh đa vị trí, kẻ tấn công sẽ cần phải đồng thời thực hiện chuyển hướng tuyến đường cho một số hệ thống tự trị của các nhà cung cấp có các liên kết lên khác nhau, điều này khó khăn hơn nhiều so với việc chuyển hướng một tuyến đường duy nhất. Việc gửi yêu cầu từ các IP khác nhau cũng sẽ tăng độ tin cậy của việc kiểm tra trong trường hợp các máy chủ Let's Encrypt đơn lẻ được đưa vào danh sách chặn (ví dụ: ở Liên bang Nga, một số IP letsencrypt.org đã bị Roskomnadzor chặn).
Cho đến ngày 1 tháng 3, sẽ có giai đoạn chuyển tiếp cho phép tạo chứng chỉ sau khi xác minh thành công từ trung tâm dữ liệu chính, nếu máy chủ không thể truy cập được từ các mạng con khác (ví dụ: điều này có thể xảy ra nếu quản trị viên máy chủ trên tường lửa chỉ cho phép yêu cầu từ trung tâm dữ liệu Let's Encrypt chính hoặc do vi phạm đồng bộ hóa vùng trong DNS). Dựa trên nhật ký, một danh sách trắng sẽ được chuẩn bị cho các miền gặp vấn đề khi xác minh từ XNUMX trung tâm dữ liệu bổ sung. Chỉ những miền có thông tin liên hệ đầy đủ mới được đưa vào danh sách trắng. Nếu tên miền không được tự động đưa vào danh sách trắng, đơn đăng ký mặt bằng cũng có thể được gửi qua .
Hiện tại, dự án Let's Encrypt đã cấp 113 triệu chứng chỉ, bao gồm khoảng 190 triệu tên miền (150 triệu tên miền đã được bảo hiểm một năm trước và 61 triệu tên miền hai năm trước). Theo thống kê từ dịch vụ Firefox Telemetry, tỷ lệ yêu cầu trang qua HTTPS trên toàn cầu là 81% (một năm trước là 77%, hai năm trước là 69%) và ở Mỹ - 91%.
Ngoài ra, có thể lưu ý Quả táo
Dừng tin cậy các chứng chỉ trong trình duyệt Safari có tuổi thọ vượt quá 398 ngày (13 tháng). Hạn chế này dự kiến chỉ được áp dụng đối với các chứng chỉ được cấp bắt đầu từ ngày 1 tháng 2020 năm 1. Đối với các chứng chỉ có thời hạn hiệu lực dài nhận được trước ngày 825 tháng 2.2, độ tin cậy sẽ được giữ lại nhưng giới hạn ở XNUMX ngày (XNUMX năm).
Sự thay đổi này có thể ảnh hưởng tiêu cực đến hoạt động kinh doanh của các trung tâm chứng nhận bán chứng chỉ giá rẻ với thời gian hiệu lực dài, lên tới 5 năm. Theo Apple, việc tạo ra các chứng chỉ như vậy tạo ra các mối đe dọa bảo mật bổ sung, cản trở việc triển khai nhanh chóng các tiêu chuẩn tiền điện tử mới và cho phép kẻ tấn công kiểm soát lưu lượng truy cập của nạn nhân trong một thời gian dài hoặc sử dụng nó để lừa đảo trong trường hợp rò rỉ chứng chỉ không được chú ý. kết quả của việc hack.
Nguồn: opennet.ru