Днес вземете SSL сертификат за вашия уебсайт това е изключително простоВ допълнение към това разходите за тях са намалели значително в сравнение с преди около 4-5 години, когато гигантът за търсене "Google" започна да дава по-добро позициониране на "https" уебсайтове.
По това време получаването на SSL сертификат на достъпна цена беше наистина трудно, но днес дори може да се получи безплатно с помощта на Let's Encrypt.
Let's Encrypt е център за сертифициране с нестопанска цел която предоставя сертификати безплатно на всички. И сега тя обяви въвеждането на нова схема за разрешаване на сертификати за домейни.
Достъп до сървъра, който хоства директорията «/.well-known/acme-challenge/» използвано при сканирането, сега ще се извършва с помощта на множество HTTP заявки, изпратени от 4 различни IP адреса, разположени в различни центрове за данни и притежавани от различни автономни системи. Проверката се счита за успешна само ако поне 3 от 4 заявки от различни IP адреси са успешни.
Сканиране от множество подмрежи ще сведете до минимум рисковете от получаване на сертификати за чуждестранни домейни чрез провеждане на целенасочени атаки, които пренасочват трафика чрез подмяна на измамни маршрути, използвайки BGP.
Когато се използва система за проверка на много позиции, нападателят ще трябва едновременно да постигне пренасочване на маршрут за множество автономни системи за доставчици с различни връзки нагоре, което е много по-сложно от пренасочването на един маршрут.
След 19 февруари ще направим четири пълни заявки за проверка (1 от първичен център за данни и 3 от отдалечени центрове за данни). Основната заявка и поне 2 от 3-те отдалечени заявки трябва да получат правилната стойност за отговор на предизвикателството, за да може домейнът да се счита за авторитетен.
В бъдеще ще продължим да оценяваме добавянето на повече статистически данни за мрежата и може да променим необходимия брой и праг.
Освен това, изпращането на заявки от различни IP адреси ще повиши надеждността на проверката в случай, че отделни хостове Let's Encrypt влязат в списъците с блокове (напр. в Русия някои IP letsencrypt.org попадат под блокирането на Roskomnadzor).
До 1 юни ще има преходен период което ще позволи да се генерират сертификати при успешна проверка от първичния център за данни, когато хостът е недостъпен от други подмрежи (например това може да се случи, ако администраторът на хоста на защитната стена разреши заявки само от основния център за данни Да шифроваме или поради нарушение на зоновата синхронизация в DNS).
Според записите, ще бъде изготвен бял списък за домейни, които имат проблеми с потвърждаването от 3 допълнителни центъра за данни. Само домейни с данни за контакт в белия списък. Ако домейнът не е в белия списък, заявката за съоръжения може да бъде подадена и чрез специален формуляр.
Днес Let's Encrypt издаде 113 милиона сертификата, обхващащи около 190 милиона домейни (150 милиона домейни бяха покрити преди година и 61 милиона бяха покрити преди две години).
Според статистиката на телеметричната услуга на Firefox глобалният процент на заявките за страници през HTTPS е 81% (77% преди година, 69% преди две години) и 91% в САЩ.
Освен това, Намерението на Apple да спре да се доверява на сертификати със срок на годност над 398 дни може да се види (13 месеца) в браузъра Safari.
Ами сега планирате да въведете ограничението само за сертификати, издадени от 1 септември 2020 г. За сертификати с дълъг период на валидност, получени преди 1 септември, доверието ще се запази, но ще бъде ограничено до 825 дни (2.2 години) .
Промяната може да се отрази негативно на бизнеса на сертифициращите органи, които продават евтини сертификати с дълъг период на валидност до 5 години.
Според Apple генерирането на такива сертификати крие допълнителни рискове за сигурността, пречи на оперативното внедряване на нови криптографски стандарти и позволява на нападателите да наблюдават трафика на жертвите за дълго време или да го използват за подправяне в случай на дискретно изтичане на сертификата в резултат на хакване.