今日SSL証明書を取得します あなたのウェブサイトのために とてもシンプルですさらに、これらのコストは、検索の巨人「Google」が「https」Webサイトにより良い位置付けを提供し始めた約4〜5年前と比較して大幅に減少しました。
当時、SSL証明書を手頃な価格で入手することは非常に困難でしたが、今日では Let'sEncryptを使用して無料で入手することもできます。
Let'sEncryptは非営利の認証センターです すべての人に無料で証明書を提供します。 そして今、それは新しい認可スキームの導入を発表しました ドメインの証明書の。
ディレクトリ«/.well-known/acme-challenge/»をホストするサーバーへのアクセス スキャンで使用されるのは、異なるデータセンターにあり、異なる自律システムによって所有されている4つの異なるIPアドレスから送信された複数のHTTP要求を使用して実行されるようになります。 検証は、異なるIPからの3つの要求のうち少なくとも4つが成功した場合にのみ成功したと見なされます。
複数のサブネットからのスキャン 外部ドメインの証明書を取得するリスクを最小限に抑えることができます BGPを使用して不正なルート置換を介してトラフィックをリダイレクトする標的型攻撃を実行する。
マルチポジション検証システムを使用する場合、攻撃者は、アップリンクが異なる複数の自律型プロバイダーシステムのルートリダイレクトを同時に達成する必要があります。これは、単一のルートをリダイレクトするよりもはるかに複雑です。
19月1日以降、3つの完全な検証リクエストを行います(2つはプライマリデータセンターから、3つはリモートデータセンターから)。 メインリクエストとXNUMXつのリモートリクエストのうち少なくともXNUMXつは、ドメインが信頼できると見なされるために、正しいチャレンジ応答値を受信する必要があります。
将来的には、ネットワークインサイトの追加を引き続き評価し、必要な数としきい値を変更する可能性があります。
さらに、 異なるIPからリクエストを送信すると、検証の信頼性が向上します 個々のLet'sEncryptホストがブロックリストに入る場合(たとえば、ロシアでは、一部のIPletsencrypt.orgがRoskomnadzorブロッキングに該当しました)。
1月XNUMX日まで移行期間があります これにより、ホストが他のサブネットから利用できない場合に、プライマリデータセンターからの検証が成功したときに証明書を生成できます(たとえば、ファイアウォールのホスト管理者がプライマリデータセンターからの要求のみを許可した場合に発生する可能性がありますLet's EncryptまたはDNSのゾーン同期の違反による)。
記録によると、3つの追加データセンターからの検証に問題があるドメインのホワイトリストが作成されます。 ホワイトリストに登録された連絡先の詳細を持つドメインのみ。 ドメインがホワイトリストにない場合は、特別なフォームから施設のリクエストを送信することもできます。
今日、Let's Encryptは約113億190千万のドメインをカバーする150億61万の証明書を発行しました(XNUMX億XNUMX万のドメインがXNUMX年前にカバーされ、XNUMX万がXNUMX年前にカバーされました)。
Firefoxのテレメトリサービスの統計によると、HTTPSを介したページリクエストの世界的な割合は81%(77年前は69%、91年前はXNUMX%)で、米国ではXNUMX%です。
さらに、 398日以上の保存期間を持つ証明書の信頼を停止するというAppleの意図を見ることができます (13か月)Safariブラウザで。
さて、1年2020月1日以降に発行された証明書のみに制限を導入する予定です。825月2.2日より前に有効期間が長い証明書については、信頼は維持されますが、XNUMX日(XNUMX。XNUMX年)に制限されます。 。
この変更は、最長5年の有効期間の長い安価な証明書を販売する認証機関のビジネスに悪影響を与える可能性があります。
Appleによると、そのような証明書の生成は追加のセキュリティリスクをもたらしますは、新しい暗号化標準の運用実装を妨害し、攻撃者が被害者のトラフィックを長期間監視したり、ハッキングの結果として証明書が目立たないように漏洩した場合にスプーフィングに使用したりできるようにします。