Let's Encrypt annoncerede et nyt skema til godkendelsesgodkendelse

lets-Encrypt

I dag få et SSL-certifikat til dit websted det er ekstremt simpeltDerudover er omkostningerne ved disse faldet betydeligt sammenlignet med omkring 4-5 år siden, da søgegiganten "Google" begyndte at give en bedre positionering til "https" -websites.

På det tidspunkt var det virkelig svært at få et SSL-certifikat til en overkommelig pris, men i dag det kan endda fås gratis ved hjælp af Let's Encrypt.

Lad os kryptere er et non-profit certificeringscenter som giver certifikater gratis til alle. Og nu har det annonceret indførelsen af ​​en ny godkendelsesordning af certifikater til domæner.

Adgang til den server, der er vært for biblioteket «/.well-known/acme-challenge/» anvendt i scanningen udføres nu ved hjælp af flere HTTP-anmodninger sendt fra 4 forskellige IP-adresser placeret i forskellige datacentre og ejet af forskellige autonome systemer. En verifikation betragtes kun som vellykket, hvis mindst 3 ud af 4 anmodninger fra forskellige IP'er er vellykkede.

Scanning fra flere undernet du minimerer risikoen ved at få certifikater til udenlandske domæner ved at udføre målrettede angreb, der omdirigerer trafik gennem skurkruteudskiftning ved hjælp af BGP.

Når du bruger et verifikationssystem med flere positioner, skal en angriber samtidig opnå ruteomdirigering for flere autonome udbydersystemer med forskellige uplinks, hvilket er meget mere kompliceret end at omdirigere en enkelt rute.

Efter den 19. februar foretager vi fire fulde valideringsanmodninger (1 fra et primært datacenter og 3 fra eksterne datacentre). Hovedanmodningen og mindst 2 af de 3 eksterne anmodninger skal modtage den korrekte udfordringsresponsværdi for at domænet kan betragtes som autoritativt.

I fremtiden vil vi fortsætte med at evaluere tilføjelse af flere netværksindsigter og kan ændre det krævede antal og tærskel.

Derudover afsendelse af anmodninger fra forskellige IP'er øger pålideligheden af ​​verifikationen hvis individuelle Let's Encrypt-værter går ind i blokeringslisterne (f.eks. i Rusland faldt nogle IP letsencrypt.org under Roskomnadzor-blokering).

Indtil den 1. juni vil der være en overgangsperiode som gør det muligt at generere certifikater efter vellykket verifikation fra det primære datacenter, når værten ikke er tilgængelig fra andre undernet (for eksempel kan dette ske, hvis værtsadministratoren i firewallen tillod kun anmodninger fra det primære datacenter Lad os kryptere eller på grund af krænkelse af zonsynkronisering i DNS).

Ifølge optegnelserne, udarbejdes en hvidliste til domæner, der har problemer med at verificere fra 3 yderligere datacentre. Kun domæner med hvidlistede kontaktoplysninger. Hvis domænet ikke er på hvidlisten, kan anmodningen om faciliteter også indsendes via en særlig formular.

I dag har Let's Encrypt udstedt 113 millioner certifikater, der dækker omkring 190 millioner domæner (150 millioner domæner blev dækket for et år siden, og 61 millioner blev dækket for to år siden).

Ifølge statistikker fra Firefox's telemetritjeneste er den globale procentdel af sideanmodninger via HTTPS 81% (77% for et år siden, 69% for to år siden) og 91% i USA.

Derudover Apples hensigt om at stoppe med at stole på certifikater med en holdbarhed på mere end 398 dage kan ses (13 måneder) i Safari-browseren.

Nå planlægger du kun at indføre begrænsningen for certifikater, der er udstedt fra den 1. september 2020. For certifikater med en lang gyldighedsperiode, der er modtaget inden den 1. september, opretholdes tilliden, men den er begrænset til 825 dage (2.2 år).

Ændringen kan påvirke certificeringsmyndighedernes forretning negativt, der sælger billige certifikater med en lang gyldighedsperiode på op til 5 år.

Ifølge Apple udgør genereringen af ​​sådanne certifikater yderligere sikkerhedsrisici, forstyrrer den operationelle implementering af nye kryptografiske standarder og giver angribere mulighed for at overvåge offerets trafik i lang tid eller bruge den til spoofing i tilfælde af en diskret lækage af certifikatet som et resultat af hacking.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.