لنقوم بتشفير الإعلان عن نظام ترخيص شهادة جديد

احصل اليوم على شهادة SSL لموقع الويب الخاص بك إنه بسيط للغايةبالإضافة إلى ذلك ، انخفضت تكاليف هذه بشكل كبير مقارنة بحوالي 4-5 سنوات عندما بدأ عملاق البحث "Google" في إعطاء موقع أفضل لمواقع "https".

في ذلك الوقت ، كان الحصول على شهادة SSL بسعر مناسب أمرًا صعبًا حقًا ، ولكن اليوم يمكن الحصول عليها مجانًا بمساعدة Let's Encrypt.

Let's Encrypt هو مركز شهادات غير ربحي الذي يوفر شهادات مجانية للجميع. والآن أعلنت عن إدخال نظام ترخيص جديد من الشهادات للمجالات.

الوصول إلى الخادم الذي يستضيف الدليل «/.well-known/acme-challenge/» المستخدمة في الفحص سيتم الآن تنفيذها باستخدام طلبات HTTP متعددة مرسلة من 4 عناوين IP مختلفة موجودة في مراكز بيانات مختلفة ومملوكة لأنظمة مستقلة مختلفة. لا يعتبر التحقق ناجحًا إلا في حالة نجاح 3 طلبات على الأقل من 4 طلبات من عناوين IP مختلفة.

المسح من شبكات فرعية متعددة سوف تقلل من مخاطر الحصول على شهادات للمجالات الأجنبية من خلال تنفيذ هجمات مستهدفة تعيد توجيه حركة المرور من خلال استبدال المسار المارق باستخدام BGP.

عند استخدام نظام تحقق متعدد المواقع ، سيحتاج المهاجم إلى تحقيق إعادة توجيه المسار في نفس الوقت لأنظمة الموفر المستقل المتعددة ذات الارتباطات الصاعدة المختلفة ، وهو أمر أكثر تعقيدًا من إعادة توجيه مسار واحد.

بعد 19 فبراير ، سنقدم أربعة طلبات تحقق كاملة (1 من مركز البيانات الأساسي و 3 من مراكز البيانات البعيدة). يجب أن يتلقى الطلب الرئيسي و 2 على الأقل من الطلبات البعيدة الثلاثة قيمة استجابة التحدي الصحيحة للمجال ليتم اعتباره موثوقًا.

سنواصل في المستقبل تقييم إضافة المزيد من رؤى الشبكة وقد نغير العدد والعتبة المطلوبة.

وبالإضافة إلى ذلك، سيؤدي إرسال الطلبات من عناوين IP مختلفة إلى زيادة موثوقية التحقق في حالة دخول مضيفي Let's Encrypt الفرديين إلى قوائم الحظر (على سبيل المثال ، في روسيا ، تندرج بعض عناوين IP الخاصة بـ letencrypt.org ضمن حظر Roskomnadzor).

حتى 1 يونيو ، ستكون هناك فترة انتقالية الذي سيسمح بإنشاء الشهادات عند التحقق الناجح من مركز البيانات الأساسي عندما يكون المضيف غير متاح من الشبكات الفرعية الأخرى (على سبيل المثال ، يمكن أن يحدث هذا إذا سمح مسؤول المضيف على جدار الحماية بالطلبات من مركز البيانات الأساسي فقط Let's Encrypt أو بسبب انتهاك مزامنة المنطقة في DNS).

حسب السجلات، سيتم إعداد قائمة بيضاء للمجالات التي تواجه مشكلة في التحقق من 3 مراكز بيانات إضافية. المجالات التي تحتوي على تفاصيل جهات اتصال مدرجة في القائمة البيضاء فقط. إذا لم يكن النطاق مدرجًا في القائمة البيضاء ، فيمكن أيضًا تقديم طلب التسهيلات عبر نموذج خاص.

حاليًا ، أصدرت Let's Encrypt 113 مليون شهادة تغطي حوالي 190 مليون نطاق (تمت تغطية 150 مليون نطاق قبل عام و 61 مليونًا تمت تغطيتها قبل عامين).

وفقًا لإحصاءات خدمة القياس عن بُعد في Firefox ، تبلغ النسبة العالمية لطلبات الصفحة عبر HTTPS 81٪ (77٪ قبل عام ، 69٪ قبل عامين) و 91٪ في الولايات المتحدة.

وبالإضافة إلى ذلك، يمكن رؤية نية Apple في التوقف عن الوثوق بالشهادات ذات العمر الافتراضي لأكثر من 398 يومًا (13 شهرًا) في متصفح Safari.

حسنًا ، أنت تخطط الآن لإدخال التقييد فقط للشهادات الصادرة اعتبارًا من 1 سبتمبر 2020. بالنسبة للشهادات ذات فترة الصلاحية الطويلة التي تم استلامها قبل 1 سبتمبر ، سيتم الحفاظ على الثقة ، ولكنها ستقتصر على 825 يومًا (2.2 سنة) .

قد يؤثر التغيير سلبًا على أعمال هيئات التصديق التي تبيع شهادات رخيصة ذات فترة صلاحية طويلة تصل إلى 5 سنوات.

وفقًا لشركة Apple ، فإن إنشاء مثل هذه الشهادات يشكل مخاطر أمنية إضافية، يتداخل مع التنفيذ التشغيلي لمعايير التشفير الجديدة ويسمح للمهاجمين بمراقبة حركة مرور الضحايا لفترة طويلة أو استخدامها للانتحال في حالة حدوث تسرب سري للشهادة نتيجة الاختراق.