Let's Encrypt hà annunziatu un novu schema di autorizazione di certificati

lascia-Cifrà

Oghje uttene un certificatu SSL per u vostru situ web hè estremamente simpliceIn più di quessa, i costi di questi sò diminuiti assai paragunatu à circa 4-5 anni fà quandu u giant di ricerca "Google" hà cuminciatu à dà un megliu pusizionamentu à i siti web "https".

À quellu tempu, uttene un certificatu SSL à un prezzu accessibile era veramente difficiule, ma oghje pò ancu esse uttenutu gratuitamente cù l'aiutu di Let's Encrypt.

Let's Encrypt hè un centru di certificazione senza scopo di lucro chì furnisce certificati gratuitamente à tutti. È avà hà annunziatu l'introduzione di un novu schema d'autorizazione di certificati per duminii.

Accessu à u servitore chì accoglie u cartulare «/.well-known/acme-challenge/» adupratu in a scansione serà oramai effettuatu aduprendu parechje richieste HTTP inviate da 4 indirizzi IP diversi situati in diversi centri di dati è pusseduti da diversi sistemi autonomi. Una verificazione hè cunsiderata cum'è successu solu se almenu 3 richieste su 4 da diverse IP sò riesciute.

Scansione da più sottoreti minimiserete i rischi di uttene certificati per duminii stranieri cunducendu attacchi mirati chì rindirizzanu u trafficu per mezu di a sostituzione di i percorsi malandrini cù BGP.

Quandu si usa un sistema di verificazione multi-pusizione, un attacheru duverà uttene simultaneamente a redirezione di rotta per più sistemi di fornitori autonomi cù diversi uplinks, chì hè assai più complicatu di redirigere una sola ruta.

Dopu à u 19 di ferraghju, faremu quattru richieste di cunvalidazione cumplette (1 da un centru di dati primariu è 3 da centri di dati remoti). A dumanda principale è almenu 2 di e 3 richieste luntane devenu riceve u valore currettu di risposta di sfida per u duminiu da esse cunsideratu auturitariu.

In u futuru seguiteremu à valutà l'aggiunta di più intuizioni di rete è pudemu cambià u numeru è a soglia necessaria.

Inoltre, l'inviu di richieste da diverse IP aumenterà l'affidabilità di a verifica in casu chì l'individuali Let's Encrypt entri in i listini di blocchi (per esempiu in Russia qualchì IP letsencrypt.org hè cascatu sottu à u bloccu Roskomnadzor).

Finu à u 1 di ghjugnu, ci serà un periodu di transizione chì permetterà i certificati da esse generati dopu a verificazione riesciuta da u centru di dati primariu quandu l'ospite ùn hè micca dispunibile da altre subnet (per esempiu, questu pò accade se l'amministratore di l'ospite nantu à u firewall hà permessu richieste da u centru di dati primariu solu Criptemu o per via di violazione di a sincronizazione di zona in DNS).

Sicondu i registri, una lista bianca serà preparata per i duminii chì anu difficultà à verificà da 3 centri di dati addiziunali. Solu duminii cù dati di cuntattu in a lista bianca. Se u duminiu ùn hè micca nantu à a lista bianca, a dumanda di facilità pò ancu esse presentata per mezu di una forma speciale.

Oghje Let's Encrypt hà emessu 113 milioni di certificati chì coprenu circa 190 milioni di duminii (150 milioni di duminii eranu cuparti un annu fà è 61 milioni eranu cuparti dui anni fà).

Sicondu statistiche di u serviziu di telemetria di Firefox, a percentuale glubale di richieste di pagine nantu à HTTPS hè di 81% (77% un annu fà, 69% dui anni fà) è 91% in i Stati Uniti.

Inoltre, L'intenzione di Apple di smette di fidà i certificati cun una vita di più di 398 ghjorni si pò vede (13 mesi) in u navigatore Safari.

Ebbè avà avete intenzione di introduce a restrizione solu per i certificati emessi da u 1 di settembre di u 2020. Per i certificati cun un longu periodu di validità ricevutu prima di u 1 di settembre, a fiducia serà mantenuta, ma serà limitata à 825 ghjorni (2.2 anni) .

U cambiamentu puderia influenzà negativamente l'attività di l'autorità di certificazione chì vendenu certificati economici cun un longu periodu di validità finu à 5 anni.

Sicondu Apple, a generazione di tali certificati pone risichi di securità supplementari, interferisce cù l'implementazione operativa di novi standard criptografici è permette à l'attaccanti di monitorà u trafficu di e vittime per un bellu pezzu o l'utilizanu per spoofing in casu di una discreta fuga di u certificatu per via di pirate.


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.