Šodien iegūstiet SSL sertifikātu savai vietnei tas ir ārkārtīgi vienkāršiTurklāt to izmaksas ir ievērojami samazinājušās, salīdzinot ar pirms 4–5 gadiem, kad meklēšanas gigants „Google” sāka labāk pozicionēt vietnes „https”.
Tajā laikā iegūt SSL sertifikātu par pieņemamu cenu bija patiešām grūti, taču šodien to var pat bez maksas iegūt ar šifrēšanas palīdzību.
Let's Encrypt ir bezpeļņas sertifikācijas centrs kas visiem nodrošina sertifikātus bez maksas. Un tagad tā ir paziņojusi par jaunas atļauju shēmas ieviešanu sertifikātu domēniem.
Piekļuve serverim, kas mitina direktoriju «/.well-known/acme-challenge/» skenēšanā izmantotie dati tagad tiks veikti, izmantojot vairākus HTTP pieprasījumus, kas nosūtīti no 4 dažādām IP adresēm, kas atrodas dažādos datu centros un pieder dažādām autonomām sistēmām. Pārbaude tiek uzskatīta par veiksmīgu tikai tad, ja vismaz 3 no 4 dažādu IP pieprasījumiem ir veiksmīgi.
Skenēšana no vairākiem apakštīkliem samazināt sertifikātu iegūšanas risku ārvalstu domēniem veicot mērķtiecīgus uzbrukumus, kas novirza satiksmi, izmantojot negodīgus maršrutus, izmantojot BGP.
Izmantojot vairāku pozīciju verifikācijas sistēmu, uzbrucējam vienlaikus būs jāpanāk maršruta novirzīšana vairākām autonomām pakalpojumu sniedzēju sistēmām ar dažādām augšupsaitēm, kas ir daudz sarežģītāk nekā viena maršruta novirzīšana.
Pēc 19. februāra mēs veiksim četrus pilnīgus apstiprināšanas pieprasījumus (1 no primārā datu centra un 3 no attāliem datu centriem). Galvenajam pieprasījumam un vismaz 2 no 3 attālinātajiem pieprasījumiem jāsaņem pareizā izaicinājuma atbildes vērtība, lai domēns tiktu uzskatīts par autoritatīvu.
Nākotnē mēs turpināsim novērtēt pievienojot vairāk tīkla ieskatu un, iespējams, mainīsim nepieciešamo skaitu un slieksni.
Turklāt, pieprasījumu nosūtīšana no dažādiem IP palielinās verifikācijas uzticamību Gadījumā, ja atsevišķi šifrējamie saimnieki ievadīs bloku sarakstus (piemēram, Krievijā daži IP letsencrypt.org tika pakļauti Roskomnadzor bloķēšanai).
Līdz 1. jūnijam būs pārejas periods kas ļaus ģenerēt sertifikātus pēc veiksmīgas verifikācijas no primārā datu centra, kad resursdators nav pieejams no citiem apakštīkliem (piemēram, tas var notikt, ja resursdatora resursdatora administrators ļāva pieprasījumus no primārā datu centra tikai šifrēt vai zonas sinhronizācijas pārkāpums DNS).
Pēc ierakstiem, tiks sagatavots balto sarakstu domēniem, kuriem ir grūtības verificēt no 3 papildu datu centriem. Tikai domēni ar baltā sarakstā iekļauto kontaktinformāciju. Ja domēns nav baltajā sarakstā, pieprasījumu par objektiem var iesniegt arī, izmantojot īpašu veidlapu.
Šodien Let's Encrypt ir izsniedzis 113 miljonus sertifikātu, kas aptver aptuveni 190 miljonus domēnu (pirms gada tika aptverti 150 miljoni domēnu un pirms diviem gadiem - 61 miljoni).
Saskaņā ar Firefox telemetrijas pakalpojuma statistiku, kopējais lapu pieprasījumu procentuālais daudzums, izmantojot HTTPS, ir 81% (pirms gada 77%, pirms diviem gadiem 69%) un ASV 91%.
Turklāt, Var redzēt Apple nodomu pārtraukt uzticēties sertifikātiem, kuru derīguma termiņš pārsniedz 398 dienas (13 mēneši) pārlūkprogrammā Safari.
Tagad jūs plānojat ieviest ierobežojumu tikai sertifikātiem, kas izsniegti no 1. gada 2020. septembra. Sertifikātiem ar ilgu derīguma termiņu, kas saņemti pirms 1. septembra, uzticība tiks saglabāta, taču tā būs ierobežota līdz 825 dienām (2.2 gadiem).
Izmaiņas varētu negatīvi ietekmēt sertifikācijas iestāžu biznesu, kas pārdod lētus sertifikātus ar ilgu derīguma termiņu līdz 5 gadiem.
Pēc Apple domām, šādu sertifikātu ģenerēšana rada papildu drošības riskus, traucē jaunu kriptogrāfijas standartu operatīvu ieviešanu un ļauj uzbrucējiem ilgu laiku uzraudzīt upuru trafiku vai izmantot to krāpšanai, ja uzlaušanas dēļ uzlauztā sertifikāta noplūde notiek uzlaušanas rezultātā.