I dag få et SSL-sertifikat for nettstedet ditt det er ekstremt enkeltI tillegg har kostnadene til disse sunket betraktelig sammenlignet med for rundt 4-5 år siden da søkegiganten "Google" begynte å gi en bedre posisjonering til "https" nettsteder.
På den tiden var det veldig vanskelig å få et SSL-sertifikat til en overkommelig pris, men i dag det kan til og med skaffes gratis ved hjelp av Let's Encrypt.
Let's Encrypt er et ideelt sertifiseringssenter som gir sertifikater gratis for alle. Og nå har den kunngjort innføringen av en ny autorisasjonsordning av sertifikater for domener.
Tilgang til serveren som er vert for katalogen «/.well-known/acme-challenge/» brukt i skanningen vil nå bli utført ved hjelp av flere HTTP-forespørsler sendt fra 4 forskjellige IP-adresser som ligger i forskjellige datasentre og eies av forskjellige autonome systemer. En bekreftelse anses bare som vellykket hvis minst tre av fire forespørsler fra forskjellige IP-er lykkes.
Skanning fra flere delnett minimere risikoen ved å skaffe sertifikater for utenlandske domener ved å gjennomføre målrettede angrep som omdirigerer trafikk gjennom useriøs rutesubstitusjon ved hjelp av BGP.
Når du bruker et verifiseringssystem med flere posisjoner, må en angriper samtidig oppnå ruteomdirigering for flere autonome leverandørsystemer med forskjellige opplinker, noe som er mye mer komplisert enn å omdirigere en enkelt rute.
Etter 19. februar vil vi komme med fire fullstendige valideringsforespørsler (1 fra et primært datasenter og 3 fra eksterne datasentre). Hovedforespørselen og minst 2 av de 3 eksterne forespørslene må motta den riktige utfordringsresponsverdien for at domenet skal kunne betraktes som autoritativt.
I fremtiden vil vi fortsette å evaluere å legge til mer nettverksinnsikt, og kan endre antall og terskler som kreves.
Videre sende forespørsler fra forskjellige IP-er vil øke påliteligheten av bekreftelsen i tilfelle individuelle Let's Encrypt-verter går inn i blokkeringslistene (f.eks. i Russland falt noen IP letsencrypt.org under Roskomnadzor-blokkering).
Fram til 1. juni vil det være en overgangsperiode som vil tillate at sertifikater genereres ved vellykket bekreftelse fra det primære datasenteret når verten ikke er tilgjengelig fra andre undernett (for eksempel kan dette skje hvis vertsadministratoren i brannmuren bare tillot forespørsler fra det primære datasenteret La oss kryptere eller pga. brudd på sonesynkronisering i DNS).
I følge postene, blir det utarbeidet en hvitliste for domener som har problemer med å verifisere fra tre ekstra datasentre. Bare domener med godkjent kontaktinformasjon. Hvis domenet ikke er på den hvite listen, kan forespørselen om fasilitetene også sendes inn via et spesielt skjema.
Foreløpig har Let's Encrypt utstedt 113 millioner sertifikater som dekker rundt 190 millioner domener (150 millioner domener ble dekket for et år siden og 61 millioner ble dekket for to år siden).
I følge statistikk fra Firefox-telemetitjenesten er den globale prosentandelen av sideforespørsler over HTTPS 81% (77% for et år siden, 69% for to år siden) og 91% i USA.
Videre Apples intensjon om å slutte å stole på sertifikater med en holdbarhet på mer enn 398 dager, kan sees (13 måneder) i Safari-nettleseren.
Nå planlegger du å innføre begrensningen bare for sertifikater utstedt fra 1. september 2020. For sertifikater med lang gyldighetsperiode mottatt før 1. september, vil tilliten opprettholdes, men den vil være begrenset til 825 dager (2.2 år).
Endringen kan påvirke virksomheten til sertifiseringsmyndigheter som selger billige sertifikater med en lang gyldighetsperiode på opptil 5 år.
I følge Apple utgjør generering av slike sertifikater ytterligere sikkerhetsrisiko, forstyrrer den operasjonelle implementeringen av nye kryptografiske standarder og lar angripere overvåke offertrafikk i lang tid eller bruke den til spoofing i tilfelle en diskret lekkasje av sertifikatet som et resultat av hacking.