Aujourd'hui, obtenez un certificat SSL pour votre site web c'est extrêmement simpleDe plus, leurs coûts ont considérablement diminué par rapport à il y a 4-5 ans lorsque le géant de la recherche "Google" a commencé à donner un meilleur positionnement aux sites "https".
À cette époque, obtenir un certificat SSL à un prix abordable était vraiment difficile, mais aujourd'hui il peut même être obtenu gratuitement avec l'aide de Let's Encrypt.
Let's Encrypt est un centre de certification à but non lucratif qui fournit des certificats gratuitement à tous. Et maintenant, il a annoncé l'introduction d'un nouveau régime d'autorisation de certificats pour les domaines.
Accès au serveur qui héberge le répertoire «/.well-known/acme-challenge/» utilisé dans l'analyse sera désormais effectué à l'aide de plusieurs requêtes HTTP envoyées à partir de 4 adresses IP différentes situées dans différents centres de données et appartenant à différents systèmes autonomes. Une vérification est considérée comme réussie uniquement si au moins 3 requêtes sur 4 provenant d'adresses IP différentes aboutissent.
Analyse à partir de plusieurs sous-réseaux minimiser les risques liés à l'obtention de certificats pour les domaines étrangers en menant des attaques ciblées qui redirigent le trafic via une substitution d'itinéraires non fiables à l'aide de BGP.
Lors de l'utilisation d'un système de vérification multiposition, un attaquant devra simultanément réaliser la redirection de route pour plusieurs systèmes de fournisseur autonomes avec différentes liaisons montantes, ce qui est beaucoup plus compliqué que de rediriger une seule route.
Après le 19 février, nous effectuerons quatre demandes de validation complètes (1 à partir d'un centre de données principal et 3 à partir de centres de données distants). La requête principale et au moins 2 des 3 requêtes distantes doivent recevoir la valeur de réponse de défi correcte pour que le domaine soit considéré comme faisant autorité.
À l'avenir, nous continuerons d'évaluer l'ajout d'informations supplémentaires sur le réseau et nous pourrons modifier le nombre et le seuil requis.
En outre, l'envoi de demandes à partir de différentes adresses IP augmentera la fiabilité de la vérification au cas où des hôtes individuels de Let's Encrypt entreraient dans les listes de blocage (par exemple, en Russie, certains IP letsencrypt.org tombaient sous le blocage de Roskomnadzor).
Jusqu'au 1er juin, il y aura une période de transition qui permettra aux certificats d'être générés après une vérification réussie du centre de données principal lorsque l'hôte n'est pas disponible à partir d'autres sous-réseaux (par exemple, cela peut se produire si l'administrateur hôte sur le pare-feu a autorisé les demandes du centre de données principal uniquement Let's Encrypt ou en raison d'une violation de la synchronisation de zone dans DNS).
D'après les archives, une liste blanche sera préparée pour les domaines ayant des difficultés à vérifier à partir de 3 centres de données supplémentaires. Uniquement les domaines avec des coordonnées en liste blanche. Si le domaine ne figure pas sur la liste blanche, la demande des installations peut également être soumise via un formulaire spécial.
Actuellement, Let's Encrypt a émis 113 millions de certificats couvrant environ 190 millions de domaines (150 millions de domaines ont été couverts il y a un an et 61 millions l'ont été il y a deux ans).
Selon les statistiques du service de télémétrie Firefox, le pourcentage global de requêtes de pages via HTTPS est de 81% (77% il y a un an, 69% il y a deux ans) et 91% aux États-Unis.
En outre, L'intention d'Apple d'arrêter de faire confiance aux certificats avec une durée de conservation de plus de 398 jours peut être vue (13 mois) dans le navigateur Safari.
Eh bien maintenant, vous prévoyez d'introduire la restriction uniquement pour les certificats émis à partir du 1er septembre 2020. Pour les certificats avec une longue période de validité reçus avant le 1er septembre, la confiance sera maintenue, mais elle sera limitée à 825 jours (2.2 ans) .
Le changement pourrait affecter négativement l'activité des autorités de certification qui vendent des certificats bon marché avec une longue période de validité pouvant aller jusqu'à 5 ans.
Selon Apple, la génération de tels certificats pose des risques de sécurité supplémentaires, interfère avec la mise en œuvre opérationnelle des nouvelles normes cryptographiques et permet aux attaquants de surveiller le trafic des victimes pendant une longue période ou de l'utiliser pour l'usurpation d'identité en cas de fuite discrète du certificat suite à un piratage.