Ontvang vandaag een SSL-certificaat voor uw website het is buitengewoon eenvoudigBovendien zijn de kosten hiervan aanzienlijk gedaald vergeleken met 4-5 jaar geleden, toen de zoekgigant "Google" een betere positionering begon te geven aan "https" -websites.
In die tijd was het verkrijgen van een SSL-certificaat voor een betaalbare prijs erg moeilijk, maar vandaag het kan zelfs gratis worden verkregen met behulp van Let's Encrypt.
Let's Encrypt is een certificeringscentrum zonder winstoogmerk die voor iedereen gratis certificaten verstrekt. En nu heeft het de introductie aangekondigd van een nieuw autorisatieschema van certificaten voor domeinen.
Toegang tot de server die de directory «/.well-known/acme-challenge/» host die in de scan worden gebruikt, worden nu uitgevoerd met behulp van meerdere HTTP-verzoeken die worden verzonden vanaf 4 verschillende IP-adressen in verschillende datacenters en eigendom van verschillende autonome systemen. Een verificatie wordt alleen als succesvol beschouwd als ten minste 3 van de 4 verzoeken van verschillende IP-adressen succesvol zijn.
Scannen vanuit meerdere subnetten minimaliseer de risico's van het behalen van certificaten voor buitenlandse domeinen door gerichte aanvallen uit te voeren die verkeer omleiden via vervanging van malafide routes met behulp van BGP.
Bij gebruik van een verificatiesysteem met meerdere posities moet een aanvaller tegelijkertijd een routeomleiding bewerkstelligen voor meerdere autonome providersystemen met verschillende uplinks, wat veel gecompliceerder is dan het omleiden van één enkele route.
Na 19 februari zullen we vier volledige validatieverzoeken indienen (1 vanuit een primair datacenter en 3 vanuit externe datacenters). Het hoofdverzoek en ten minste 2 van de 3 externe verzoeken moeten de juiste uitdagingsresponswaarde ontvangen om het domein als gezaghebbend te beschouwen.
In de toekomst zullen we blijven evalueren om meer netwerkinzichten toe te voegen en kunnen we het aantal en de vereiste drempel wijzigen.
Bovendien heeft het verzenden van verzoeken vanaf verschillende IP-adressen verhoogt de betrouwbaarheid van de verificatie voor het geval individuele Let's Encrypt-hosts de blokkeerlijsten binnengaan (bijv. in Rusland viel sommige IP letsencrypt.org onder Roskomnadzor-blokkering).
Tot 1 juni is er een overgangsperiode waarmee certificaten kunnen worden gegenereerd na succesvolle verificatie vanuit het primaire datacenter wanneer de host niet beschikbaar is vanuit andere subnetten (dit kan bijvoorbeeld gebeuren als de hostbeheerder van de firewall alleen verzoeken van het primaire datacenter Let's Encrypt toestaat of vanwege schending van de zonesynchronisatie in DNS).
Volgens de gegevens, wordt er een witte lijst opgesteld voor domeinen die problemen ondervinden bij het verifiëren vanuit 3 extra datacenters. Alleen domeinen met contactgegevens op de witte lijst. Als het domein niet op de witte lijst staat, kan het verzoek om faciliteiten ook via een speciaal formulier worden ingediend.
Vandaag heeft Let's Encrypt 113 miljoen certificaten uitgegeven voor ongeveer 190 miljoen domeinen (150 miljoen domeinen waren een jaar geleden gedekt en 61 miljoen werden twee jaar geleden gedekt).
Volgens statistieken van de Firefox-telemetrieservice is het wereldwijde percentage paginaverzoeken via HTTPS 81% (77% een jaar geleden, 69% twee jaar geleden) en 91% in de Verenigde Staten.
Bovendien heeft Het voornemen van Apple om certificaten met een houdbaarheid van meer dan 398 dagen niet langer te vertrouwen, is zichtbaar (13 maanden) in de Safari-browser.
Welnu, u bent van plan de beperking alleen in te voeren voor certificaten die zijn uitgegeven vanaf 1 september 2020. Voor certificaten met een lange geldigheidsduur die vóór 1 september zijn ontvangen, blijft het vertrouwen behouden, maar het zal beperkt zijn tot 825 dagen (2.2 jaar).
De wijziging kan een negatief effect hebben op de activiteiten van certificeringsinstanties die goedkope certificaten verkopen met een lange geldigheidsduur van maximaal 5 jaar.
Volgens Apple brengt het genereren van dergelijke certificaten extra beveiligingsrisico's met zich mee, interfereert met de operationele implementatie van nieuwe cryptografische standaarden en stelt aanvallers in staat het slachtofferverkeer gedurende lange tijd te monitoren of te gebruiken voor spoofing in geval van een discreet lek van het certificaat als gevolg van hacking.