Šiandien gaukite SSL sertifikatą jūsų svetainei tai nepaprastai paprastaBe to, jų išlaidos žymiai sumažėjo, palyginti su maždaug prieš 4-5 metus, kai paieškos milžinė „Google“ pradėjo teikti geresnes pozicijas „https“ svetainėms.
Tuo metu gauti SSL sertifikatą už prieinamą kainą buvo tikrai sunku, tačiau šiandien jį galima gauti net nemokamai naudojant „Encrypt“.
„Let's Encrypt“ yra ne pelno siekiantis sertifikavimo centras kuris visiems suteikia nemokamas pažymas. Ir dabar ji paskelbė apie naujos leidimų sistemos įvedimą domenų sertifikatų.
Prieiga prie serverio, kuriame yra katalogas «/.well-known/acme-challenge/» naudojami nuskaitymo metu, bus atliekami naudojant kelias HTTP užklausas, išsiųstas iš 4 skirtingų IP adresų, esančių skirtinguose duomenų centruose ir priklausančių skirtingoms autonominėms sistemoms. Patikrinimas laikomas sėkmingu tik tuo atveju, jei bent 3 iš 4 skirtingų IP užklausų yra sėkmingos.
Nuskaitymas iš kelių potinklių sumažinsite riziką gauti sertifikatus užsienio domenams vykdant tikslines atakas, nukreipiančias srautą per nesąžiningą maršruto pakeitimą naudojant BGP.
Naudodamas kelių padėčių patvirtinimo sistemą, užpuolikas turės vienu metu pasiekti kelių autonominių tiekėjų sistemų su skirtingais aukštyn nuorodais maršruto peradresavimą, o tai yra daug sudėtingiau nei peradresuoti vieną maršrutą.
Po vasario 19 dienos pateiksime keturias išsamias patvirtinimo užklausas (1 iš pirminio duomenų centro ir 3 iš nuotolinių duomenų centrų). Pagrindinė užklausa ir bent 2 iš 3 nuotolinių užklausų turi gauti teisingą iššūkio atsakymo vertę, kad domenas būtų laikomas autoritetingu.
Ateityje ir toliau vertinsime pridėdami daugiau tinklo įžvalgų ir galime pakeisti reikiamą skaičių ir slenkstį.
Be to, siunčiant užklausas iš skirtingų IP padidės patikimumo patikimumas tuo atveju, jei pavieniai „Encrypt“ kompiuteriai pateks į blokų sąrašus (pvz., Rusijoje kai kurie IP letsencrypt.org pateko į „Roskomnadzor“ blokavimą).
Iki birželio 1 dienos bus pereinamasis laikotarpis kuris leis generuoti sertifikatus sėkmingai patikrinus iš pirminio duomenų centro, kai pagrindinio kompiuterio negalima pasiekti iš kitų potinklių (pavyzdžiui, taip gali atsitikti, jei pagrindinės sistemos ugniasienės administratorius leido užklausas iš pirminio duomenų centro leiskite šifruoti arba dėl zonos sinchronizavimo DNS pažeidimas).
Pagal įrašus, baltasis sąrašas bus parengtas domenams, turintiems problemų tikrinant iš 3 papildomų duomenų centrų. Tik domenai su baltąja kontaktine informacija. Jei domeno nėra baltame sąraše, prašymą dėl paslaugų taip pat galima pateikti naudojant specialią formą.
Šiandien „Užšifruokime“ išleido 113 milijonų sertifikatų, apimančių apie 190 milijonų domenų (prieš metus buvo padengta 150 milijonų domenų, o prieš dvejus metus - 61 milijonas).
Remiantis „Firefox“ telemetrijos tarnybos statistika, bendras puslapių užklausų procentas per HTTPS yra 81% (prieš metus - 77%, prieš dvejus - 69%), o JAV - 91%.
Be to, Galima pastebėti „Apple“ ketinimą nebetikėti sertifikatais, kurių galiojimo laikas yra ilgesnis nei 398 dienos (13 mėnesių) naršyklėje „Safari“.
Na, dabar jūs planuojate įvesti apribojimą tik sertifikatams, išduotiems nuo 1 m. Rugsėjo 2020 d. Jei sertifikatas, kurio galiojimo laikas yra ilgas, gautas iki rugsėjo 1 d., Pasitikėjimas išliks, tačiau jis bus apribotas iki 825 dienų (2.2 metų).
Šis pakeitimas gali neigiamai paveikti sertifikavimo institucijų, kurios parduoda pigius sertifikatus, kurių galiojimo laikas yra iki 5 metų, verslą.
Pasak „Apple“, tokių sertifikatų generavimas kelia papildomą pavojų saugumui, trukdo operatyviai įgyvendinti naujus kriptografijos standartus ir leidžia užpuolikams ilgai stebėti aukų srautą arba naudoti jį sukčiavimui, jei dėl įsilaužimo pastebimas slaptas sertifikato nutekėjimas.