Hari ini dapatkan sertifikat SSL untuk situs web Anda itu sangat sederhanaSelain itu, biaya ini telah menurun drastis dibandingkan sekitar 4-5 tahun yang lalu ketika raksasa pencarian "Google" mulai memberikan posisi yang lebih baik ke situs "https".
Saat itu, mendapatkan sertifikat SSL dengan harga terjangkau memang susah, tapi sekarang bahkan bisa didapatkan secara gratis dengan bantuan Let's Encrypt.
Let's Encrypt adalah pusat sertifikasi nirlaba yang memberikan sertifikat gratis untuk semua. Dan sekarang telah mengumumkan pengenalan skema otorisasi baru sertifikat untuk domain.
Akses ke server yang menghosting direktori «/.well-known/acme-challenge/» yang digunakan dalam pemindaian sekarang akan dilakukan menggunakan beberapa permintaan HTTP yang dikirim dari 4 alamat IP berbeda yang terletak di pusat data berbeda dan dimiliki oleh sistem otonom yang berbeda. Verifikasi dianggap berhasil hanya jika setidaknya 3 dari 4 permintaan dari IP berbeda berhasil.
Memindai dari beberapa subnet Anda akan meminimalkan risiko mendapatkan sertifikat untuk domain asing dengan melakukan serangan tertarget yang mengarahkan lalu lintas melalui substitusi rute jahat menggunakan BGP.
Saat menggunakan sistem verifikasi multi-posisi, penyerang perlu secara bersamaan mencapai pengalihan rute untuk beberapa sistem penyedia otonom dengan uplink berbeda, yang jauh lebih rumit daripada mengarahkan satu rute.
Setelah 19 Februari, kami akan membuat empat permintaan validasi penuh (1 dari pusat data primer dan 3 dari pusat data jarak jauh). Permintaan utama dan setidaknya 2 dari 3 permintaan jarak jauh harus menerima nilai respons tantangan yang benar agar domain dianggap berwibawa.
Di masa mendatang kami akan terus mengevaluasi penambahan lebih banyak wawasan jaringan dan dapat mengubah jumlah serta ambang batas yang diperlukan.
Selain itu, mengirim permintaan dari IP yang berbeda akan meningkatkan keandalan verifikasi dalam kasus Let's Encrypt host individu memasuki daftar blokir (misalnya di Rusia beberapa IP letsencrypt.org berada di bawah pemblokiran Roskomnadzor).
Hingga 1 Juni, akan ada masa transisi yang akan memungkinkan sertifikat dibuat setelah verifikasi berhasil dari pusat data utama ketika host tidak tersedia dari subnet lain (misalnya, ini dapat terjadi jika administrator host di firewall mengizinkan permintaan dari pusat data utama hanya Let's Encrypt atau karena pelanggaran sinkronisasi zona di DNS).
Menurut catatan, daftar putih akan disiapkan untuk domain yang mengalami masalah verifikasi dari 3 pusat data tambahan. Hanya domain dengan detail kontak yang masuk daftar putih. Jika domain tidak ada di whitelist, permintaan fasilitas juga bisa disampaikan melalui formulir khusus.
Saat ini, Let's Encrypt telah mengeluarkan 113 juta sertifikat yang mencakup sekitar 190 juta domain (150 juta domain dicakup setahun yang lalu dan 61 juta dicakup dua tahun lalu).
Menurut statistik dari layanan telemetri Firefox, persentase global permintaan halaman melalui HTTPS adalah 81% (77% setahun lalu, 69% dua tahun lalu) dan 91% di Amerika Serikat.
Selain itu, Niat Apple untuk berhenti mempercayai sertifikat dengan umur simpan lebih dari 398 hari dapat dilihat (13 bulan) di browser Safari.
Nah sekarang Anda berencana untuk memperkenalkan pembatasan hanya untuk sertifikat yang diterbitkan mulai 1 September 2020. Untuk sertifikat dengan masa berlaku lama yang diterima sebelum 1 September, kepercayaan akan dipertahankan, tetapi akan dibatasi hingga 825 hari (2.2 tahun) .
Perubahan tersebut dapat berdampak negatif terhadap bisnis otoritas sertifikasi yang menjual sertifikat murah dengan masa berlaku yang lama hingga 5 tahun.
Menurut Apple, pembuatan sertifikat tersebut menimbulkan risiko keamanan tambahan, mengganggu implementasi operasional standar kriptografi baru dan memungkinkan penyerang untuk memantau lalu lintas korban untuk waktu yang lama atau menggunakannya untuk spoofing jika terjadi kebocoran sertifikat secara diam-diam akibat peretasan.