Let's Encrypt annoncéiert en neit Zertifika Autorisatiounsschema

léisst-Verschlësselen

Haut kritt en SSL Zertifika fir Är Websäit et ass extrem einfachZousätzlech sinn d'Käschte vun dëse wesentlech erofgaang am Verglach mat 4-5 Joer wéi de Sichris "Google" ugefaang huet eng besser Positionéierung op "https" Websäiten ze ginn.

Zu där Zäit war et e SSL Zertifika zu engem bezuelbare Präis ze kréien, war wierklech schwéier, awer haut et kann ee souguer gratis mat Hëllef vu Let's Encrypt kréien.

Let's Encrypt ass en non-profit Zertifizéierungszentrum déi Zertifikater gratis fir all ubidden. An elo huet et d'Aféierung vun engem neien Autorisatiounsschema annoncéiert vun Zertifikater fir Domänen.

Zougang zum Server deen de Verzeechnes hält «/.well-bekannt / acme-challenge/» am Scan benotzt gëtt elo mat ville HTTP Ufroen aus 4 verschiddene IP Adressen a verschiddene Rechenzentren a Besëtz vun ënnerschiddlechen autonome Systemer ausgefouert. Eng Verifikatioun gëtt nëmmen als erfollegräich ugesinn wann op d'mannst 3 vu 4 Ufroe vu verschiddenen IPen erfollegräich sinn.

Scannen aus méi Subnets miniméiert d'Risiken fir Zertifikater fir auslännesch Domainen ze kréien duerch geziilten Attacken, déi de Verkéier duerch eng schrecklech Weeersubstitutioun mat BGP weiderginn.

Wann Dir e Multipositiouns-Verifikatiounssystem benotzt, da muss en Ugräifer gläichzäiteg Wee-Viruleedung fir verschidde autonom Ubidder Systemer mat ënnerschiddlechen Uplinks erreechen, wat vill méi komplizéiert ass wéi eng eenzeg Route ëmleeden.

Nom 19. Februar wäerte mir véier voll Validatiounsufroe maachen (1 aus engem primäre Rechenzentrum an 3 aus Remote Rechenzentren). D'Haaptufro an op d'mannst 2 vun den 3 Remote-Ufroen mussen de richtegen Erausfuerderungsresponswäert kréien fir datt d'Domain als autoritär ugesi gëtt.

An der Zukunft wäerte mir weider evaluéieren fir méi Netzwierk Erkenntnisser z'änneren a kënnen d'Nummer an d'Schwell änneren.

Och, Ufroe vu verschiddene IPe schécken, erhéicht d'Zouverlässegkeet vun der Verifikatioun am Fall wou eenzel Let's Encrypt Hosten d'Blocklëschten eraginn (zB a Russland ass e puer IP letsencrypt.org ënner Roskomnadzor Blocking gefall).

Bis den 1. Juni gëtt et eng Iwwergangszäit déi et erlaben Zertifikaten ze generéieren no erfollegräicher Verifikatioun aus dem primären Rechenzentrum wann den Host net verfügbar ass vun aneren Ënnernetzer (zum Beispill, dëst ka geschéien wann den Hostadministrator op der Firewall Ufroen vum primären Rechenzentrum erlaabt Loosst eis Verschlësselen oder wéinst Verstouss géint Zonsynchroniséierung bei DNS).

Geméiss den Dossieren, e Whitelist gëtt bereet fir Domänen déi Problemer hunn ze verifizéieren vun 3 zousätzlech Rechenzentren. Nëmme Beräicher mat wäisslëschte Kontaktdetailer. Wann d'Domain net op der wäisser Lëscht ass, kann d'Ufro fir d'Ariichtungen och iwwer e speziellen Form ofginn.

Aktuell huet Let's Encrypt 113 Milliounen Zertifikater erausginn déi ongeféier 190 Milliounen Domainen ofdecken (150 Milliounen Domainer ware virun engem Joer ofgedeckt an 61 Milliounen goufen virun zwee Joer ofgedeckt).

Geméiss Statistiken vum Firefox Telemetrieservice ass de weltwäite Prozentsaz vun de Säitenufroen iwwer HTTPS 81% (77% virun engem Joer, 69% virun zwee Joer) an 91% an den USA.

Och, D'Intentioun vun Apple fir Vertrauen opzehalen mat enger Haltbarkeet vu méi wéi 398 Deeg ze gesinn ass ze gesinn (13 Méint) am Safari Browser.

Gutt elo plangt Dir d'Restriktioun aféieren nëmme fir Zertifikater, déi vum 1. September 2020 ausgestallt sinn. Fir Zertifikater mat enger laanger Validitéit, déi virum 1. September krut, gëtt d'Vertrauen erhale bleiwen, awer et gëtt op 825 Deeg (2.2 Joer) limitéiert.

D'Ännerung kéint d'Affär vun Zertifizéierungsbehörden negativ beaflossen déi bëlleg Zertifikater mat enger laanger Gültegkeetsperiod vu bis zu 5 Joer verkafen.

Geméiss Apple huet d'Generatioun vun esou Zertifikater zousätzlech Sécherheetsrisiken, interferéiert mat der operationeller Ëmsetzung vun neie kryptographesche Standaren an erméiglecht Ugräifer fir Afferverkéier fir eng laang Zäit ze iwwerwaachen oder se fir Spoofing ze benotzen am Fall vun engem dezente Leck vum Zertifika als Resultat vum Hacking.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.