Danas nabavite SSL certifikat za vaše web mjesto krajnje je jednostavnoUz to, troškovi su se znatno smanjili u usporedbi s prije 4-5 godina kada je pretraživački div "Google" počeo bolje pozicionirati web stranice "https".
U to je vrijeme dobivanje SSL certifikata po pristupačnoj cijeni bilo stvarno teško, ali danas čak se može besplatno dobiti uz pomoć Let's Encrypt.
Let's Encrypt neprofitni je certifikacijski centar koja svima pruža certifikate besplatno. A sada je najavio uvođenje nove sheme autorizacije certifikata za domene.
Pristup poslužitelju na kojem se nalazi direktorij «/.well-known/acme-challenge/» korišten u skeniranju sada će se izvoditi pomoću višestrukih HTTP zahtjeva poslanih s 4 različite IP adrese smještene u različitim podatkovnim centrima i u vlasništvu različitih autonomnih sustava. Provjera se smatra uspješnom samo ako su uspješna barem 3 od 4 zahtjeva s različitih IP-ova.
Skeniranje iz više podmreža umanjit ćete rizike dobivanja certifikata za strane domene provođenjem ciljanih napada koji preusmjeravaju promet zamjenom lažne rute pomoću BGP-a.
Kada koristi sustav za provjeru s više položaja, napadač će morati istodobno postići preusmjeravanje rute za više autonomnih sustava davatelja usluga s različitim uplinkovima, što je mnogo složenije od preusmjeravanja jedne rute.
Nakon 19. veljače podnijet ćemo četiri puna zahtjeva za provjeru (1 iz primarnog podatkovnog centra i 3 iz udaljenih podatkovnih centara). Glavni zahtjev i najmanje 2 od 3 udaljena zahtjeva moraju primiti ispravnu vrijednost odgovora na izazov da bi se domena smatrala mjerodavnom.
U budućnosti ćemo nastaviti s procjenom dodavanja dodatnih uvida u mrežu i možda ćemo promijeniti potreban broj i prag.
Osim toga, slanje zahtjeva s različitih IP-a povećat će pouzdanost provjere u slučaju da pojedinačni domaćini Let's Encrypt uđu na popise blokova (npr. u Rusiji je neki IP letsencrypt.org pao pod blokadu Roskomnadzora).
Do 1. lipnja bit će prijelazno razdoblje što će omogućiti generiranje certifikata nakon uspješne provjere iz primarnog podatkovnog centra kada je domaćin nedostupan iz drugih podmreža (na primjer, to se može dogoditi ako je administrator hosta na vatrozidu dopustio zahtjeve samo iz primarnog podatkovnog centra Let's Encrypt ili zbog povreda sinkronizacije zone u DNS-u).
Prema evidenciji, bit će pripremljen bijeli popis za domene koje imaju problema s provjerom iz 3 dodatna podatkovna centra. Samo domene s kontaktima s bijele liste. Ako domena nije na dopuštenom popisu, zahtjev za sadržajima također se može predati putem posebnog obrasca.
Trenutno je Let's Encrypt izdao 113 milijuna certifikata koji pokrivaju oko 190 milijuna domena (150 milijuna domena pokriveno je prije godinu dana, a 61 milijun prije dvije godine).
Prema statistikama telemetrijske usluge Firefox, globalni postotak zahtjeva za stranicama preko HTTPS-a iznosi 81% (prije godinu dana 77%, prije dvije godine 69%) i u Sjedinjenim Državama 91%.
Osim toga, Može se vidjeti Appleova namjera da prestane vjerovati certifikatima s rokom trajanja dužim od 398 dana (13 mjeseci) u pregledniku Safari.
Pa, sada planirate uvesti ograničenje samo za potvrde izdane od 1. rujna 2020. Za potvrde s dugim rokom valjanosti primljene prije 1. rujna povjerenje će se zadržati, ali bit će ograničeno na 825 dana (2.2 godine).
Promjena bi mogla negativno utjecati na poslovanje certifikacijskih tijela koja prodaju jeftine certifikate s dugim razdobljem valjanosti do 5 godina.
Prema Appleu, generiranje takvih certifikata predstavlja dodatne sigurnosne rizike, ometa operativnu provedbu novih kriptografskih standarda i omogućava napadačima da dugo prate promet žrtava ili ga koriste za lažno predstavljanje u slučaju diskretnog curenja certifikata kao rezultat hakiranja.