非营利性认证中心 ,由社区控制并免费向所有人提供证书, 关于引入新方案来确认获取域证书的权限。现在将使用从位于不同数据中心且属于不同自治系统的 4 个不同 IP 地址发送的多个 HTTP 请求来联系测试中使用的托管“/.well-known/acme-challenge/”目录的服务器。仅当来自不同 IP 的 3 个请求中至少有 4 个成功时,才认为检查成功。
通过从多个子网进行检查,您可以执行有针对性的攻击,通过使用 BGP 替换虚拟路由来重定向流量,从而最大限度地降低获取外部域证书的风险。当使用多位置验证系统时,攻击者需要同时对具有不同上行链路的提供商的多个自治系统实现路由重定向,这比重定向单个路由要困难得多。如果单个 Let’s Encrypt 主机被包含在阻止列表中(例如,在俄罗斯联邦,Roskomnadzor 阻止了一些 Let's Encrypt 主机),从不同 IP 发送请求也将提高检查的可靠性。
在 1 月 3 日之前,如果主机无法从其他子网访问(例如,如果防火墙上的主机管理员仅允许来自主要是 Let's Encrypt 数据中心或因为 DNS 中的区域同步违规)。根据日志,将为另外 XNUMX 个数据中心验证存在问题的域准备白名单。只有具有完整联系信息的域才会包含在白名单中。如果域名没有自动列入白名单,也可以通过以下方式发送场地申请: .
目前,Let’s Encrypt 项目已颁发 113 亿张证书,覆盖约 190 亿个域名(一年前覆盖 150 亿个域名,两年前覆盖 61 万个域名)。根据 Firefox Telemetry 服务的统计,全球通过 HTTPS 进行页面请求的比例为 81%(一年前为 77%,两年前为 69%),在美国为 91%。
另外,还可以注意到 苹果
停止信任 Safari 浏览器中生命周期超过 398 天(13 个月)的证书。该限制计划仅适用于 1 年 2020 月 1 日起颁发的证书。对于 825 月 2.2 日之前收到的有效期较长的证书,信任将被保留,但仅限于 XNUMX 天(XNUMX 年)。
这一变化可能会对那些销售有效期较长(长达 5 年)的廉价证书的认证中心的业务产生负面影响。据苹果公司称,此类证书的生成会带来额外的安全威胁,干扰新加密标准的快速实施,并允许攻击者长时间控制受害者的流量,或者在证书泄露未被注意到的情况下将其用于网络钓鱼:黑客攻击的结果。
来源: opennet.ru