Келіңіздер, жаңа сертификатты авторизациялау схемасын жариялайық

шифрлауға мүмкіндік береді

Бүгін SSL сертификатын алыңыз Сіздің веб-сайтыңыз үшін бұл өте қарапайымБұған қоса, шығындар шамамен 4-5 жыл бұрын «Google» іздеу алыбы «https» сайттарына жақсы позиция бере бастаған кездегімен салыстырғанда айтарлықтай төмендеді.

Ол кезде SSL сертификатын қол жетімді бағамен алу шынымен қиын болатын, бірақ бүгінде оны тіпті Let Encrypt көмегімен де алуға болады.

Let's Encrypt - бұл коммерциялық емес сертификаттау орталығы бұл сертификаттарды барлығына тегін ұсынады. Енді ол авторизацияның жаңа схемасын енгізетіндігін жариялады домендерге арналған сертификаттар.

«/.Well-known/acme-challenge/» каталогын орналастыратын серверге кіру сканерлеу кезінде пайдаланылатын енді әртүрлі деректер орталықтарында орналасқан және әр түрлі автономды жүйелерге тиесілі 4 түрлі IP мекен-жайдан жіберілген бірнеше HTTP сұраныстарының көмегімен орындалады. Тексеру сәтті болып саналады, егер әр түрлі IP-ден келген сұраныстың кем дегенде 3-і сәтті болса.

Бірнеше ішкі желіден сканерлеу сіз шетелдік домендерге сертификат алу қаупін барынша азайтасыз трафикті бұрмаланған маршрутты ауыстыру арқылы қайта бағыттайтын мақсатты шабуылдар жасау арқылы BGP.

Көп позициялы тексеру жүйесін қолданған кезде шабуылдаушыға бір уақытта бірнеше бағыттары бар бірнеше автономды провайдерлік жүйелер үшін маршрутты қайта бағыттау қажет, бұл бір маршрутты қайта бағыттаудан гөрі күрделі.

19 ақпаннан кейін біз төрт толық валидация сұрауын жібереміз (1 бастапқы деректер орталығынан және 3 қашықтағы деректер орталықтарынан). Негізгі сұраныс және 2 қашықтықтағы сұраныстың кем дегенде 3-сі доменнің беделді болып саналуы үшін дұрыс шақырудың жауап мәнін алуы керек.

Болашақта біз желі туралы қосымша түсініктерді бағалауды жалғастырамыз және қажетті сан мен шекті өзгерте аламыз.

Сонымен қатар, әр түрлі IP-ден сұраныстар жіберу тексерудің сенімділігін арттырады жеке шифрлайық хосттар блок тізімдеріне енген жағдайда (мысалы, Ресейде кейбір IP letsencrypt.org Роскомнадзорға тыйым салынған).

1 маусымға дейін өтпелі кезең болады бұл хост басқа ішкі желілерден қол жетімді болмаған кезде бастапқы деректер орталығынан сәтті тексеру кезінде сертификаттар алуға мүмкіндік береді (мысалы, егер брандмауэрдегі хост әкімшісі тек бастапқы деректер орталығынан сұраныстарға рұқсат етсе немесе шифрлайық DNS-те аймақтық синхрондауды бұзу).

Жазбаларға сәйкес, 3 қосымша деректер орталығынан тексеру кезінде ақауы бар домендерге ақ тізім жасалады. Ақ тізімге енгізілген байланыс деректері бар домендер ғана. Егер домен ақ тізімде болмаса, нысандарға сұранысты арнайы форма арқылы да жіберуге болады.

Бүгін Let Encrypt шамамен 113 миллион доменді қамтитын 190 миллион сертификат шығарды (бір жыл бұрын 150 миллион домен қамтылған, ал екі жыл бұрын 61 миллион домен қамтылған).

Firefox телеметрия қызметінің статистикалық мәліметтеріне сәйкес, HTTPS арқылы парақ сұрауларының ғаламдық пайызы 81% (бір жыл бұрын 77%, екі жыл бұрын 69%) және АҚШ-та 91% құрайды.

Сонымен қатар, Apple-дің сақтау мерзімі 398 күннен асатын сертификаттарға деген сенімін тоқтатуға ниеті байқалады (13 ай) Safari шолғышында.

Енді сіз шектеуді 1 жылдың 2020 қыркүйегінен бастап берілген сертификаттарға ғана енгізуді жоспарлап отырсыз. 1 қыркүйекке дейін алынған ұзақ мерзімді сертификаттар үшін сенім сақталады, бірақ ол 825 күнмен шектеледі (2.2 жыл).

Бұл өзгеріс ұзақ мерзімділігі 5 жылға дейінгі арзан сертификаттарды сататын сертификаттау жөніндегі органдардың қызметіне кері әсер етуі мүмкін.

Apple компаниясының пікірінше, мұндай сертификаттардың пайда болуы қауіпсіздікке қосымша қауіп төндіреді, жаңа криптографиялық стандарттардың жедел енгізілуіне кедергі келтіреді және шабуылдаушыларға жәбірленушілер трафигін ұзақ уақыт бақылауға немесе бұзу нәтижесінде сертификаттың құпия түрде ағып кетуі жағдайында оны алдау үшін пайдалануға мүмкіндік береді.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.