היום קבל תעודת SSL לאתר שלך זה פשוט ביותרבנוסף, העלויות של אלה פחתו במידה ניכרת בהשוואה לפני כ 4-5 שנים כאשר ענקית החיפוש "גוגל" החלה לתת מיצוב טוב יותר לאתרי "https".
באותה תקופה, קבלת תעודת SSL במחיר סביר היה ממש קשה, אבל היום ניתן אפילו להשיג אותו בחינם בעזרת Let's Encrypt.
Let's Encrypt הוא מרכז הסמכה ללא כוונת רווח המספק תעודות בחינם לכולם. ועכשיו היא הודיעה על הצגת תוכנית אישור חדשה תעודות לתחומים.
גישה לשרת המארח את הספרייה «/.well-known / acme-challenge/» המשמש בסריקה יבוצע כעת באמצעות מספר בקשות HTTP הנשלחות מארבע כתובות IP שונות הממוקמות במרכזי נתונים שונים ובבעלות מערכות אוטונומיות שונות. אימות נחשב כמוצלח רק אם לפחות 4 מתוך 3 בקשות מכתובות IP שונות מוצלחות.
סריקה ממספר רשתות משנה תוכלו למזער את הסיכונים בקבלת אישורים עבור דומיינים זרים על ידי ביצוע התקפות ממוקדות המפנות תנועה באמצעות החלפת מסלולים נוכלים באמצעות BGP.
בעת שימוש במערכת אימות רב-עמדתית, תוקף יצטרך להשיג הפניית מסלול בו זמנית עבור מערכות ספקיות אוטונומיות מרובות עם uplinks שונים, וזה הרבה יותר מסובך מניתוב מסלול יחיד.
לאחר ה -19 בפברואר, אנו מגישים ארבע בקשות אימות מלאות (אחת ממרכז נתונים ראשי ושלוש ממרכזי נתונים מרוחקים). הבקשה העיקרית ולפחות 1 מתוך 3 הבקשות המרוחקות חייבות לקבל את ערך תגובת האתגר הנכון כדי שהדומיין ייחשב סמכותי.
בעתיד נמשיך להעריך הוספת תובנות רשת נוספות ועשוי לשנות את המספר והסף הנדרש.
בנוסף, שליחת בקשות מ- IP שונים תגדיל את מהימנות האימות למקרה שמארחים בואו להצפין בודדים נכנסים לרשימות החסימה (למשל ברוסיה חלק מ- IP letsencrypt.org נפל תחת חסימת Roskomnadzor).
עד ה -1 ביוני תהיה תקופת מעבר שיאפשרו ליצור אישורים לאחר אימות מוצלח ממרכז הנתונים הראשי כאשר המארח אינו זמין מרשתות משנה אחרות (לדוגמא, זה יכול לקרות אם מנהל המארח בחומת האש התיר בקשות ממרכז הנתונים הראשי רק בואו להצפין או עקב הפרה של סנכרון אזורים ב- DNS).
לפי הרשומות, יוכן רשימת היתרים לדומיינים המתקשים לאמת משלושה מרכזי נתונים נוספים. רק דומיינים עם פרטי יצירת קשר עם רשימת היתרים. אם הדומיין לא נמצא ברשימת ההיתרים, ניתן להגיש את הבקשה למתקנים גם באמצעות טופס מיוחד.
היום Let's Encrypt הוציאה 113 מיליון אישורים המכסים כ -190 מיליון דומיינים (150 מיליון דומיינים כוסו לפני שנה ו- 61 מיליון כוסו לפני שנתיים).
על פי נתונים סטטיסטיים משירות הטלמטריה של פיירפוקס, האחוז העולמי של בקשות העמודים באמצעות HTTPS הוא 81% (77% לפני שנה, 69% לפני שנתיים) ו- 91% בארצות הברית.
בנוסף, ניתן לראות את כוונתה של אפל להפסיק לסמוך על תעודות עם חיי מדף של יותר מ 398 יום (13 חודשים) בדפדפן Safari.
ובכן, כעת אתה מתכנן להציג את ההגבלה רק עבור אישורים שהונפקו החל מה -1 בספטמבר 2020. עבור אישורים עם תקופת תוקף ארוכה שהתקבלו לפני 1 בספטמבר, האמון יישמר, אך הוא יוגבל ל -825 ימים (2.2 שנים).
השינוי עלול להשפיע לרעה על עסקיהם של רשויות ההסמכה שמוכרות אישורים זולים עם תקופת תוקף ארוכה של עד 5 שנים.
לדברי אפל, יצירת תעודות מסוג זה מהווה סיכוני אבטחה נוספים, מפריע ליישום המבצעי של תקנים קריפטוגרפיים חדשים ומאפשר לתוקפים לעקוב אחר תעבורת הקורבנות לאורך זמן או להשתמש בו לזיוף במקרה של דליפה דיסקרטית של האישור כתוצאה מפריצה.