Σήμερα λάβετε ένα πιστοποιητικό SSL για τον ιστότοπό σας είναι εξαιρετικά απλόΕπιπλέον, το κόστος αυτών έχει μειωθεί σημαντικά σε σύγκριση με περίπου 4-5 χρόνια πριν, όταν ο γίγαντας αναζήτησης "Google" άρχισε να δίνει καλύτερη θέση σε ιστότοπους "https".
Εκείνη την εποχή, η απόκτηση πιστοποιητικού SSL σε προσιτή τιμή ήταν πραγματικά δύσκολη, αλλά σήμερα Μπορεί ακόμη και να ληφθεί δωρεάν με τη βοήθεια του Let's Encrypt.
Το Let's Encrypt είναι ένα μη κερδοσκοπικό κέντρο πιστοποίησης που παρέχει δωρεάν πιστοποιητικά σε όλους. Και τώρα έχει ανακοινώσει την εισαγωγή ενός νέου συστήματος αδειοδότησης πιστοποιητικών για τομείς.
Πρόσβαση στον διακομιστή που φιλοξενεί τον κατάλογο «/.well-known/acme-challenge/» που χρησιμοποιείται στη σάρωση θα εκτελεστεί τώρα χρησιμοποιώντας πολλαπλά αιτήματα HTTP που αποστέλλονται από 4 διαφορετικές διευθύνσεις IP που βρίσκονται σε διαφορετικά κέντρα δεδομένων και ανήκουν σε διαφορετικά αυτόνομα συστήματα. Μια επαλήθευση θεωρείται επιτυχής μόνο εάν επιτυγχάνονται τουλάχιστον 3 από τα 4 αιτήματα από διαφορετικές IP.
Σάρωση από πολλά υποδίκτυα ελαχιστοποιήστε τους κινδύνους απόκτησης πιστοποιητικών για αλλοδαπούς τομείς με τη διεξαγωγή στοχευμένων επιθέσεων που ανακατευθύνουν την κυκλοφορία μέσω αντικαταστάσεως αδίστακτων δρομολογίων χρησιμοποιώντας BGP.
Όταν χρησιμοποιείτε ένα σύστημα επαλήθευσης πολλαπλών θέσεων, ένας εισβολέας θα πρέπει ταυτόχρονα να επιτύχει ανακατεύθυνση διαδρομής για πολλαπλά αυτόνομα συστήματα παροχέων με διαφορετικούς ανερχόμενους συνδέσμους, κάτι που είναι πολύ πιο περίπλοκο από το να ανακατευθύνει μία μόνο διαδρομή.
Μετά τις 19 Φεβρουαρίου, θα υποβάλουμε τέσσερα πλήρη αιτήματα επικύρωσης (1 από ένα κύριο κέντρο δεδομένων και 3 από απομακρυσμένα κέντρα δεδομένων). Το κύριο αίτημα και τουλάχιστον 2 από τα 3 απομακρυσμένα αιτήματα πρέπει να λάβουν τη σωστή τιμή απόκρισης πρόκλησης για να θεωρηθεί ο τομέας έγκυρος.
Στο μέλλον θα συνεχίσουμε να αξιολογούμε προσθέτοντας περισσότερες πληροφορίες δικτύου και ενδέχεται να αλλάξουμε τον αριθμό και το απαιτούμενο όριο.
Επιπλέον, Η αποστολή αιτημάτων από διαφορετικά IP θα αυξήσει την αξιοπιστία της επαλήθευσης σε περίπτωση που μεμονωμένοι κεντρικοί υπολογιστές Let's Encrypt εισέλθουν στις λίστες αποκλεισμού (π.χ. στη Ρωσία κάποιο IP letsencrypt.org εμπίπτει στο αποκλεισμό του Roskomnadzor).
Μέχρι την 1η Ιουνίου, θα υπάρχει μεταβατική περίοδος που θα επιτρέψει τη δημιουργία πιστοποιητικών κατά την επιτυχή επαλήθευση από το κύριο κέντρο δεδομένων όταν ο κεντρικός υπολογιστής δεν είναι διαθέσιμος από άλλα υποδίκτυα (για παράδειγμα, αυτό μπορεί να συμβεί εάν ο διαχειριστής κεντρικού υπολογιστή στο τείχος προστασίας επιτρέπει αιτήματα από το κύριο κέντρο δεδομένων μόνο Ας κρυπτογραφήσουμε ή λόγω παραβίασης του συγχρονισμού ζώνης στο DNS).
Σύμφωνα με τα αρχεία, μια λίστα επιτρεπόμενων θα προετοιμαστεί για τομείς που έχουν πρόβλημα επαλήθευσης από 3 επιπλέον κέντρα δεδομένων. Μόνο τομείς με στοιχεία επικοινωνίας στη λίστα επιτρεπόμενων. Εάν ο τομέας δεν περιλαμβάνεται στη λευκή λίστα, το αίτημα για τις εγκαταστάσεις μπορεί επίσης να υποβληθεί μέσω ειδικής φόρμας.
Επί του παρόντος, το Let's Encrypt έχει εκδώσει 113 εκατομμύρια πιστοποιητικά που καλύπτουν περίπου 190 εκατομμύρια τομείς (150 εκατομμύρια τομείς καλύπτονται πριν από ένα χρόνο και 61 εκατομμύρια καλύπτονται πριν από δύο χρόνια).
Σύμφωνα με στατιστικά στοιχεία της υπηρεσίας τηλεμετρίας Firefox, το συνολικό ποσοστό αιτημάτων σελίδας μέσω HTTPS είναι 81% (77% πριν από ένα χρόνο, 69% πριν από δύο χρόνια) και 91% στις Ηνωμένες Πολιτείες.
Επιπλέον, Μπορεί να φανεί η πρόθεση της Apple να σταματήσει να εμπιστεύεται τα πιστοποιητικά με διάρκεια ζωής άνω των 398 ημερών (13 μήνες) στο πρόγραμμα περιήγησης Safari.
Λοιπόν τώρα σκοπεύετε να εισαγάγετε τον περιορισμό μόνο για πιστοποιητικά που εκδίδονται από την 1η Σεπτεμβρίου 2020. Για πιστοποιητικά με μεγάλη διάρκεια ισχύος που έχουν ληφθεί πριν από την 1η Σεπτεμβρίου, η εμπιστοσύνη θα διατηρηθεί, αλλά θα περιορίζεται σε 825 ημέρες (2.2 έτη) .
Η αλλαγή θα μπορούσε να επηρεάσει αρνητικά τη δραστηριότητα των αρχών πιστοποίησης που πωλούν φθηνά πιστοποιητικά με μακρά περίοδο ισχύος έως 5 έτη.
Σύμφωνα με την Apple, η δημιουργία τέτοιων πιστοποιητικών ενέχει πρόσθετους κινδύνους ασφαλείας, παρεμβαίνει στην επιχειρησιακή εφαρμογή νέων κρυπτογραφικών προτύπων και επιτρέπει στους εισβολείς να παρακολουθούν την κυκλοφορία των θυμάτων για μεγάλο χρονικό διάστημα ή να το χρησιμοποιούν για πλαστογράφηση σε περίπτωση διακριτικής διαρροής του πιστοποιητικού ως αποτέλεσμα της εισβολής.