Hanki tänään SSL-varmenne verkkosivustollesi se on erittäin yksinkertaistaLisäksi näiden kustannukset ovat laskeneet huomattavasti verrattuna 4–5 vuotta sitten, kun Google-hakujätti alkoi antaa paremman paikannuksen https-verkkosivustoille.
Tuolloin SSL-sertifikaatin hankkiminen kohtuuhintaan oli todella vaikeaa, mutta tänään se voidaan hankkia jopa ilmaiseksi Let's Encrypt -palvelun avulla.
Let's Encrypt on voittoa tavoittelematon sertifiointikeskus joka tarjoaa todistuksia ilmaiseksi kaikille. Ja nyt se on ilmoittanut uuden lupajärjestelmän käyttöönotosta verkkotunnusten varmenteista.
Pääsy palvelimelle, joka isännöi hakemistoa «/.well-known/acme-challenge/» skannauksessa käytettävät tiedot suoritetaan nyt käyttämällä useita HTTP-pyyntöjä, jotka lähetetään neljältä eri IP-osoitteelta, jotka sijaitsevat eri palvelinkeskuksissa ja joiden omistavat eri autonomiset järjestelmät. Vahvistusta pidetään onnistuneena vain, jos vähintään 4/3 eri IP-osoitteiden pyynnöstä onnistuu.
Skannaus useista aliverkoista minimoida ulkomaisten verkkotunnusten sertifikaattien saamisen riskit tekemällä kohdennettuja hyökkäyksiä, jotka ohjaavat liikennettä väärien reittien korvaamisen kautta BGP: n avulla.
Kun käytetään moniasentoista varmennusjärjestelmää, hyökkääjän on saavutettava samanaikaisesti reitin uudelleenohjaus useille itsenäisille palveluntarjoajajärjestelmille, joilla on eri uplink-linkit, mikä on paljon monimutkaisempaa kuin yhden reitin uudelleenohjaaminen.
19. helmikuuta jälkeen teemme neljä täydellistä vahvistuspyyntöä (yhden ensisijaisesta datakeskuksesta ja 1 etäkeskuksista). Pääpyynnön ja vähintään kahden kolmesta etäpyynnöstä on saatava oikea haastevastauksen arvo, jotta toimialue voidaan pitää arvovaltaisena.
Tulevaisuudessa jatkamme verkko-oivallusten lisäämisen arviointia ja saatamme muuttaa vaadittavaa määrää ja kynnystä.
Lisäksi, pyyntöjen lähettäminen eri IP-osoitteista lisää vahvistuksen luotettavuutta jos yksittäiset Let's Encrypt -isäntät tulevat estoluetteloihin (esim. Venäjällä jotkut IP letsencrypt.org kuuluvat Roskomnadzor-estoon).
1. kesäkuuta saakka on siirtymäkausi mikä sallii varmenteiden luomisen onnistuneesta tarkistuksesta ensisijaisesta datakeskuksesta, kun isäntä ei ole käytettävissä muista aliverkoista (esimerkiksi, tämä voi tapahtua, jos palomuurin isäntän ylläpitäjä sallii pyynnöt vain ensisijaisesta datakeskuksesta. Salataan. tai johtuen vyöhykesynkronoinnin rikkomisesta DNS: ssä).
Tietueiden mukaan, sallittujen luettelo valmistellaan verkkotunnuksille, joiden vahvistamisessa on ongelmia kolmesta muusta palvelinkeskuksesta. Vain verkkotunnukset, joiden yhteystiedot on sallittujen luettelossa. Jos verkkotunnusta ei ole valkoisella listalla, palvelupyyntö voidaan lähettää myös erityisellä lomakkeella.
Tällä hetkellä Let's Encrypt on myöntänyt 113 miljoonaa sertifikaattia, jotka kattavat noin 190 miljoonaa verkkotunnusta (150 miljoonaa verkkotunnusta katettiin vuosi sitten ja 61 miljoonaa verkkotunnusta kaksi vuotta sitten).
Firefox-telemetriapalvelun tilastojen mukaan sivupyyntöjen kokonaisprosentti HTTPS-yhteyden kautta on 81% (77% vuosi sitten, 69% kaksi vuotta sitten) ja 91% Yhdysvalloissa.
Lisäksi, On nähtävissä Applen aikomus lopettaa luottamus varmenteisiin, joiden säilyvyysaika on yli 398 päivää (13 kuukautta) Safari-selaimessa.
Nyt aiot ottaa käyttöön rajoituksen vain 1. syyskuuta 2020 lähtien myönnetyille varmenteille. Jos varmenteilla, joiden voimassaoloaika on ollut pitkä ennen 1. syyskuuta, luottamus säilyy, mutta se rajoitetaan 825 päivään (2.2 vuoteen). .
Muutos voi vaikuttaa kielteisesti sertifiointiviranomaisten liiketoimintaan, jotka myyvät halpoja varmenteita, joiden voimassaoloaika on enintään 5 vuotta.
Applen mukaan tällaisten varmenteiden luominen aiheuttaa ylimääräisiä turvallisuusriskejä, häiritsee uusien salausstandardien operatiivista käyttöönottoa ja antaa hyökkääjille mahdollisuuden tarkkailla uhrien liikennettä pitkään tai käyttää sitä huijaamiseen, jos varmenteesta huomaamaton vuotaa hakkeroinnin seurauksena.