Holen Sie sich heute ein SSL-Zertifikat für Ihre Website es ist sehr einfachDarüber hinaus sind die Kosten hierfür im Vergleich zu vor etwa vier bis fünf Jahren, als der Suchriese "Google" begann, "https" -Websites besser zu positionieren, erheblich gesunken.
Zu dieser Zeit war es wirklich schwierig, ein SSL-Zertifikat zu einem erschwinglichen Preis zu erhalten, aber heute Es kann sogar kostenlos mit Hilfe von Let's Encrypt bezogen werden.
Let's Encrypt ist ein gemeinnütziges Zertifizierungszentrum die Zertifikate für alle kostenlos zur Verfügung stellt. Und jetzt hat es die Einführung eines neuen Genehmigungsschemas angekündigt von Zertifikaten für Domains.
Zugriff auf den Server, auf dem sich das Verzeichnis «/.well-known/acme-challenge/» befindet. Die im Scan verwendete Funktion wird jetzt mit mehreren HTTP-Anforderungen ausgeführt, die von 4 verschiedenen IP-Adressen gesendet werden, die sich in verschiedenen Rechenzentren befinden und verschiedenen autonomen Systemen gehören. Eine Überprüfung wird nur dann als erfolgreich angesehen, wenn mindestens 3 von 4 Anforderungen von verschiedenen IPs erfolgreich sind.
Scannen aus mehreren Subnetzen Sie minimieren das Risiko, Zertifikate für ausländische Domains zu erhalten durch gezielte Angriffe, die den Verkehr durch Ersetzen von Schurkenrouten mithilfe von BGP umleiten.
Bei Verwendung eines Verifizierungssystems mit mehreren Positionen muss ein Angreifer gleichzeitig eine Routenumleitung für mehrere autonome Anbietersysteme mit unterschiedlichen Uplinks erreichen, was viel komplizierter ist als die Umleitung einer einzelnen Route.
Nach dem 19. Februar werden wir vier vollständige Validierungsanforderungen stellen (eine von einem primären Rechenzentrum und 1 von entfernten Rechenzentren). Die Hauptanforderung und mindestens 3 der 2 Remote-Anforderungen müssen den richtigen Wert für die Challenge-Antwort erhalten, damit die Domäne als maßgeblich angesehen werden kann.
In Zukunft werden wir weiterhin prüfen, ob weitere Netzwerkeinblicke möglich sind, und möglicherweise die Anzahl und den erforderlichen Schwellenwert ändern.
Zusätzlich Das Senden von Anforderungen von verschiedenen IPs erhöht die Zuverlässigkeit der Überprüfung Für den Fall, dass einzelne Let's Encrypt-Hosts in die Sperrlisten aufgenommen werden (z. B. in Russland fielen einige IP-Adressen von letsencrypt.org unter die Blockierung von Roskomnadzor).
Bis zum 1. Juni wird es eine Übergangsfrist geben Dadurch können Zertifikate nach erfolgreicher Überprüfung vom primären Rechenzentrum generiert werden, wenn der Host in anderen Subnetzen nicht verfügbar ist (dies kann beispielsweise passieren, wenn der Hostadministrator in der Firewall Anforderungen vom primären Rechenzentrum nur zulässt. Verschlüsseln oder aufgrund von Verletzung der Zonensynchronisation in DNS).
Nach den AufzeichnungenFür Domains, die Probleme bei der Überprüfung von 3 zusätzlichen Rechenzentren haben, wird eine Whitelist erstellt. Nur Domains mit Kontaktdaten auf der Whitelist. Wenn die Domain nicht auf der weißen Liste steht, kann die Anfrage nach Einrichtungen auch über ein spezielles Formular eingereicht werden.
Heute hat Let's Encrypt 113 Millionen Zertifikate für etwa 190 Millionen Domains ausgestellt (150 Millionen Domains wurden vor einem Jahr und 61 Millionen vor zwei Jahren abgedeckt).
Laut Statistiken des Telemetriedienstes von Firefox beträgt der weltweite Prozentsatz der Seitenanfragen über HTTPS 81% (77% vor einem Jahr, 69% vor zwei Jahren) und 91% in den USA.
Zusätzlich Die Absicht von Apple, Zertifikaten mit einer Haltbarkeit von mehr als 398 Tagen nicht mehr zu vertrauen, ist erkennbar (13 Monate) im Safari-Browser.
Nun planen Sie, die Beschränkung nur für Zertifikate einzuführen, die seit dem 1. September 2020 ausgestellt wurden. Bei Zertifikaten mit einer langen Gültigkeitsdauer, die vor dem 1. September eingegangen sind, bleibt das Vertrauen erhalten, es ist jedoch auf 825 Tage (2.2 Jahre) begrenzt.
Die Änderung könnte sich negativ auf das Geschäft von Zertifizierungsstellen auswirken, die billige Zertifikate mit einer langen Gültigkeitsdauer von bis zu 5 Jahren verkaufen.
Laut Apple birgt die Erstellung solcher Zertifikate zusätzliche Sicherheitsrisiken, stört die betriebliche Implementierung neuer kryptografischer Standards und ermöglicht es Angreifern, den Datenverkehr der Opfer über einen langen Zeitraum zu überwachen oder ihn für Spoofing zu verwenden, falls das Zertifikat aufgrund von Hacking diskret ausläuft.