Hankige täna SSL-sertifikaat oma veebisaidile see on äärmiselt lihtneLisaks on nende kulud märkimisväärselt vähenenud võrreldes umbes 4–5 aasta taguse ajaga, kui otsinguhiiglane „Google“ hakkas paremat positsiooni pakkuma „https“ veebisaitidele.
Sel ajal oli taskukohase hinnaga SSL-sertifikaadi saamine tõesti keeruline, kuid täna selle saab krüptimise abil isegi tasuta.
Let's Encrypt on mittetulunduslik sertifitseerimiskeskus mis annab sertifikaate kõigile tasuta. Ja nüüd on ta teatanud uue autoriseerimissüsteemi kasutuselevõtust domeenide sertifikaadid.
Juurdepääs serverile, mis haldab kataloogi «/.well-known/acme-challenge/» Skaneerimisel kasutatakse nüüd mitut HTTP-päringut, mis saadetakse neljalt erinevalt andmekeskuses asuvalt ja erinevatele autonoomsetele süsteemidele kuuluvatelt IP-aadressidelt. Kontrollimine loetakse edukaks ainult siis, kui vähemalt 4 taotlust erinevatelt IP-del on edukad.
Skannimine mitmest alamvõrgust minimeerite välisdomeenide sertifikaatide saamise riske korraldades sihipäraseid rünnakuid, mis suunavad liikluse petturitest marsruudi asendamise kaudu BGP abil.
Mitme asendi kontrollsüsteemi kasutamisel peab ründaja samaaegselt saavutama marsruudi ümbersuunamise mitme autonoomse pakkuja süsteemile, millel on erinevad üleslingid, mis on palju keerulisem kui ühe marsruudi ümbersuunamine.
Pärast 19. veebruari esitame neli täielikku valideerimistaotlust (1 peamisest andmekeskusest ja 3 kaugandmekeskustest). Peamine päring ja vähemalt 2 kolmest kaugpäringust peavad saama domeeni autoriteetseks pidamiseks õige väljakutse vastuse väärtuse.
Tulevikus jätkame võrguteabe lisamise hindamist ja võime muuta nõutavat arvu ja künnist.
Lisaks erinevatelt IP-del päringute saatmine suurendab kinnitamise usaldusväärsust juhul, kui üksikud Let's Encrypt hostid sisenevad plokkide loenditesse (nt Venemaal langes mõni IP letsencrypt.org Roskomnadzori blokeerimise alla).
Kuni 1. juunini on üleminekuperiood mis võimaldab sertifikaate genereerida esmase andmekeskuse edukal kontrollimisel, kui hosti pole teistest alamvõrkudest saadaval (näiteks võib see juhtuda, kui tulemüüri hosti administraator lubas ainult primaarsest andmekeskusest päringuid. Krüpteerime või DNS-is tsooni sünkroonimise rikkumise tõttu).
Arvestuse järgikoostatakse lubatud loend domeenide jaoks, kellel on probleeme täiendava 3 andmekeskuse kinnitamisega. Ainult lubatud loendis olevate kontaktandmetega domeenid. Kui domeeni pole lubatud loendis, saab teenusetaotluse esitada ka spetsiaalse vormi kaudu.
Täna on Encrypt välja andnud 113 miljonit sertifikaati, mis hõlmavad umbes 190 miljonit domeeni (aasta tagasi oli kaetud 150 miljonit ja kaks aastat tagasi 61 miljonit domeeni).
Firefoxi telemeetriateenuse statistika kohaselt on kogu HTTPS-i kasutavate lehetaotluste protsent 81% (aasta tagasi 77%, kaks aastat tagasi 69%) ja USA-s 91%.
Lisaks On näha Apple'i kavatsust loobuda enam kui 398 päeva säilivusajaga sertifikaatide usaldamisest (13 kuud) brauseris Safari.
Nüüd kavatsete kehtestada piirangu ainult sertifikaatidele, mis on välja antud alates 1. septembrist 2020. Enne 1. septembrit saadud pika kehtivusajaga sertifikaatide puhul säilib usaldus, kuid see piirdub 825 päevaga (2.2 aastat). .
Muudatus võib negatiivselt mõjutada sertifitseerimisasutuste tegevust, kes müüvad odavaid, kuni 5-aastase kehtivusajaga sertifikaate.
Apple'i sõnul kujutab selliste sertifikaatide genereerimine endast täiendavaid turvariske, segab uute krüptograafiliste standardite operatiivset rakendamist ja võimaldab ründajatel ohvrite liiklust pikka aega jälgida või kasutada seda võltsimiseks juhul, kui sertifikaadi varjatud lekkimine häkkimise tagajärjel tekib.