Danas nabavite SSL certifikat za vašu web lokaciju vrlo je jednostavnoUz to, njihovi troškovi su se znatno smanjili u odnosu na prije otprilike 4-5 godina kada je pretraživački gigant "Google" počeo bolje pozicionirati web stranice "https".
U to je vrijeme dobivanje SSL certifikata po pristupačnoj cijeni bilo stvarno teško, ali danas čak se može besplatno dobiti uz pomoć Let's Encrypt.
Let's Encrypt je neprofitni certifikacijski centar koja svima pruža besplatne certifikate. I sada je najavio uvođenje nove šeme autorizacije certifikata za domene.
Pristup serveru koji je domaćin direktorijumu «/.well-known/acme-challenge/» korišteno u skeniranju sada će se izvoditi pomoću višestrukih HTTP zahtjeva poslanih sa 4 različite IP adrese smještene u različitim centrima podataka i u vlasništvu različitih autonomnih sistema. Verifikacija se smatra uspješnom samo ako su uspješna najmanje 3 od 4 zahtjeva s različitih IP-ova.
Skeniranje iz više podmreža umanjit ćete rizike dobivanja certifikata za strane domene provođenjem ciljanih napada koji preusmjeravaju promet zamjenom lažne rute pomoću BGP-a.
Kada koristi sistem za provjeru s više položaja, napadač će morati istovremeno postići preusmjeravanje rute za više autonomnih sistema davatelja usluga s različitim uplinkovima, što je mnogo složenije od preusmjeravanja jedne rute.
Nakon 19. februara podnijet ćemo četiri puna zahtjeva za provjeru valjanosti (1 iz primarnog centra podataka i 3 iz udaljenih centara podataka). Glavni zahtjev i najmanje 2 od 3 udaljena zahtjeva moraju primiti ispravnu vrijednost odgovora na izazov da bi se domena smatrala mjerodavnom.
U budućnosti ćemo nastaviti s procjenom dodavanja dodatnih uvida u mrežu i možda ćemo promijeniti potreban broj i prag.
Takođe, slanje zahtjeva sa različitih IP-a povećat će pouzdanost provjere u slučaju da pojedinačni domaćini Let's Encrypt uđu na liste blokiranih (npr. u Rusiji je neki IP letsencrypt.org pao pod blokadu Roskomnadzora).
Do 1. juna bit će prijelazni rok što će omogućiti generiranje certifikata nakon uspješne provjere iz primarnog podatkovnog centra kada je domaćin nedostupan iz drugih podmreža (na primjer, to se može dogoditi ako je administrator hosta na zaštitnom zidu dopustio zahtjeve samo iz primarnog podatkovnog centra Let's Encrypt ili zbog kršenja sinhronizacije zona u DNS-u).
Prema evidenciji, bit će pripremljena bijela lista za domene koje imaju problema s provjerom iz 3 dodatna podatkovna centra. Samo domene s kontakt podacima na bijeloj listi. Ako domena nije na bijeloj listi, zahtjev za sadržajima također se može predati putem posebnog obrasca.
Danas Let's Let's Encrypt izdao je 113 miliona certifikata koji pokrivaju oko 190 miliona domena (150 miliona domena pokriveno je prije godinu dana, a 61 milion pokriveno je prije dvije godine).
Prema statistikama Firefoxove telemetrijske usluge, globalni postotak zahtjeva za stranicama preko HTTPS-a iznosi 81% (prije godinu dana 77%, prije dvije godine 69%) i u Sjedinjenim Državama 91%.
Takođe, Može se vidjeti Appleova namjera da prestane vjerovati certifikatima s rokom trajanja dužim od 398 dana (13 mjeseci) u pregledniku Safari.
Pa, sada planirate uvesti ograničenje samo za certifikate izdate od 1. septembra 2020. Za certifikate s dugim rokom važenja primljene prije 1. septembra povjerenje će se zadržati, ali ono će biti ograničeno na 825 dana (2.2 godine) .
Promjena bi mogla negativno utjecati na poslovanje certifikacijskih tijela koja prodaju jeftine certifikate s dugim rokom valjanosti do 5 godina.
Prema Appleu, generiranje takvih certifikata predstavlja dodatne sigurnosne rizike, ometa operativnu implementaciju novih kriptografskih standarda i omogućava napadačima da dugo prate promet žrtava ili ga koriste za lažno predstavljanje u slučaju diskretnog curenja certifikata kao rezultat hakiranja.