오늘 SSL 인증서 받기 귀하의 웹 사이트 그것은 매우 간단합니다또한 검색 대기업 "Google"이 "https"웹 사이트에 더 나은 포지셔닝을 제공하기 시작한 4 ~ 5 년 전에 비해 비용이 상당히 감소했습니다.
당시에는 저렴한 가격으로 SSL 인증서를받는 것이 정말 어려웠지만 지금은 Let 's Encrypt의 도움으로 무료로 얻을 수도 있습니다.
Let 's Encrypt는 비영리 인증 센터입니다. 모두에게 무료로 인증서를 제공합니다. 그리고 이제 새로운 인증 체계의 도입을 발표했습니다. 도메인에 대한 인증서 수.
«/.well-known/acme-challenge/»디렉토리를 호스팅하는 서버에 대한 액세스 스캔에 사용되는 작업은 이제 서로 다른 데이터 센터에 있고 서로 다른 자율 시스템이 소유 한 4 개의 서로 다른 IP 주소에서 보낸 여러 HTTP 요청을 사용하여 수행됩니다. 다른 IP의 요청 3 개 중 4 개 이상이 성공한 경우에만 확인이 성공한 것으로 간주됩니다.
여러 서브넷에서 스캔 외국 도메인에 대한 인증서 획득 위험을 최소화 할 수 있습니다. BGP를 사용하여 악성 경로 대체를 통해 트래픽을 리디렉션하는 표적 공격을 수행합니다.
다중 위치 확인 시스템을 사용할 때 공격자는 업 링크가 다른 여러 자율 공급자 시스템에 대한 경로 리디렉션을 동시에 달성해야하는데, 이는 단일 경로를 리디렉션하는 것보다 훨씬 더 복잡합니다.
19 월 1 일 이후에는 3 개의 전체 유효성 검사 요청을 수행합니다 (기본 데이터 센터에서 2 건, 원격 데이터 센터에서 3 건). 도메인이 신뢰할 수있는 것으로 간주 되려면 기본 요청과 XNUMX 개의 원격 요청 중 XNUMX 개 이상이 올바른 챌린지 응답 값을 받아야합니다.
앞으로 더 많은 네트워크 통찰력을 추가하는 것을 계속 평가할 것이며 필요한 수와 임계 값을 변경할 수 있습니다.
또한, 다른 IP에서 요청을 보내면 검증의 신뢰성이 높아집니다. 개별 Let 's Encrypt 호스트가 차단 목록에 들어가는 경우 (예 : 러시아에서는 일부 IP letsencrypt.org가 Roskomnadzor 차단에 속함).
1 월 XNUMX 일까지 전환 기간이 있습니다. 호스트를 다른 서브넷에서 사용할 수 없을 때 기본 데이터 센터에서 성공적으로 확인하면 인증서가 생성 될 수 있습니다 (예 : 방화벽의 호스트 관리자가 기본 데이터 센터의 요청 만 허용 한 경우 또는 Let 's Encrypt DNS의 영역 동기화 위반).
기록에 따르면, 3 개의 추가 데이터 센터에서 확인하는 데 문제가있는 도메인에 대한 화이트리스트가 준비됩니다.. 연락처 세부 정보가 허용 된 도메인 만. 도메인이 화이트리스트에없는 경우 시설 요청은 특수 양식을 통해 제출할 수도 있습니다.
현재 Let 's Encrypt는 약 113 억 190 천만 도메인을 포함하는 150 억 61 만 개의 인증서를 발행했습니다 (XNUMX 년 전에 XNUMX 억 XNUMX 천만 도메인이 포함되었으며 XNUMX 년 전에 XNUMX 만 도메인이 포함되었습니다).
Firefox 원격 분석 서비스의 통계에 따르면 HTTPS를 통한 페이지 요청의 전 세계 비율은 81 % (77 년 전 69 %, 91 년 전 XNUMX %), 미국에서는 XNUMX %입니다.
또한, 유효 기간이 398 일 이상인 인증서 신뢰를 중단하려는 Apple의 의도를 확인할 수 있습니다. (13 개월) Safari 브라우저에서.
자 이제 1 년 2020 월 1 일부터 발급 된 인증서에 대해서만 제한을 도입 할 계획입니다. 825 월 2.2 일 이전에받은 유효 기간이 긴 인증서의 경우 신뢰는 유지되지만 XNUMX 일 (XNUMX 년)로 제한됩니다.
이 변경은 유효 기간이 최대 5 년인 저렴한 인증서를 판매하는 인증 기관의 비즈니스에 부정적인 영향을 미칠 수 있습니다.
Apple에 따르면 이러한 인증서 생성은 추가적인 보안 위험을 초래합니다., 새로운 암호화 표준의 운영 구현을 방해하고 공격자가 오랫동안 피해자 트래픽을 모니터링하거나 해킹으로 인해 인증서가 은밀하게 유출 된 경우 스푸핑에 사용할 수 있습니다.