Dziś zdobądź certyfikat SSL dla Twojej witryny to jest niezwykle prostePoza tym ich koszty znacznie spadły w porównaniu z okresem około 4-5 lat temu, kiedy gigant wyszukiwania „Google” zaczął oferować lepsze pozycjonowanie stronom internetowym „https”.
W tamtych czasach uzyskanie certyfikatu SSL w przystępnej cenie było naprawdę trudne, ale dziś można go nawet uzyskać bezpłatnie z pomocą Let's Encrypt.
Let's Encrypt to centrum certyfikacji non-profit który zapewnia certyfikaty za darmo dla wszystkich. A teraz ogłosił wprowadzenie nowego schematu autoryzacji certyfikatów dla domen.
Dostęp do serwera, na którym znajduje się katalog «/.well-known/acme-challenge/» używane w skanowaniu będą teraz wykonywane przy użyciu wielu żądań HTTP wysyłanych z 4 różnych adresów IP znajdujących się w różnych centrach danych i należących do różnych systemów autonomicznych. Weryfikacja jest uznawana za pomyślną tylko wtedy, gdy co najmniej 3 z 4 żądań z różnych adresów IP są pomyślne.
Skanowanie z wielu podsieci zminimalizujesz ryzyko uzyskania certyfikatów na domeny zagraniczne przeprowadzając ukierunkowane ataki, które przekierowują ruch przez zastępowanie fałszywych tras przy użyciu protokołu BGP.
Korzystając z wielopozycyjnego systemu weryfikacji, osoba atakująca musi jednocześnie uzyskać przekierowanie trasy dla wielu autonomicznych systemów dostawców z różnymi łączami uplink, co jest znacznie bardziej skomplikowane niż przekierowanie pojedynczej trasy.
Po 19 lutego wykonamy cztery pełne żądania weryfikacji (1 z głównego centrum danych i 3 z odległych centrów danych). Żądanie główne i co najmniej 2 z 3 żądań zdalnych muszą otrzymać poprawną wartość odpowiedzi na wezwanie, aby domena była uznawana za autorytatywną.
W przyszłości będziemy nadal oceniać dodawanie większej ilości informacji o sieci i możemy zmienić wymaganą liczbę i próg.
Ponadto, wysyłanie żądań z różnych adresów IP zwiększy wiarygodność weryfikacji w przypadku, gdy poszczególne hosty Let's Encrypt wejdą na listy bloków (np. w Rosji niektóre IP letsencrypt.org podlegały blokowaniu przez Roskomnadzor).
Do 1 czerwca będzie obowiązywał okres przejściowy co pozwoli na generowanie certyfikatów po pomyślnej weryfikacji z głównego centrum danych, gdy host jest niedostępny z innych podsieci (na przykład może się to zdarzyć, jeśli administrator hosta na zaporze zezwala na żądania z głównego centrum danych tylko Let's Encrypt lub z powodu naruszenie synchronizacji stref w DNS).
Według zapisów, zostanie przygotowana biała lista dla domen, które mają problemy z weryfikacją z 3 dodatkowych centrów danych. Tylko domeny z danymi kontaktowymi umieszczonymi na białej liście. Jeśli domena nie znajduje się na białej liście, prośbę o wyposażenie można również złożyć za pomocą specjalnego formularza.
Obecnie Let's Encrypt wydało 113 milionów certyfikatów obejmujących około 190 milionów domen (150 milionów domen było objętych ochroną rok temu, a 61 milionów - dwa lata temu).
Według statystyk usługi telemetrycznej Firefoksa, globalny odsetek żądań stron przez HTTPS wynosi 81% (77% rok temu, 69% dwa lata temu) i 91% w Stanach Zjednoczonych.
Ponadto, Widać zamiar Apple, aby przestać ufać certyfikatom z okresem ważności dłuższym niż 398 dni (13 miesięcy) w przeglądarce Safari.
Otóż teraz planujesz wprowadzić ograniczenie tylko dla certyfikatów wydanych od 1 września 2020 r. Dla certyfikatów z długim okresem ważności otrzymanych przed 1 września zaufanie zostanie utrzymane, ale będzie ograniczone do 825 dni (2.2 roku).
Zmiana może negatywnie wpłynąć na działalność urzędów certyfikacji, które sprzedają tanie certyfikaty o długim okresie ważności do 5 lat.
Według Apple generowanie takich certyfikatów stwarza dodatkowe zagrożenia bezpieczeństwa, koliduje z operacyjnym wdrażaniem nowych standardów kryptograficznych i umożliwia atakującym monitorowanie ruchu ofiar przez długi czas lub wykorzystanie go do fałszowania w przypadku dyskretnego wycieku certyfikatu w wyniku włamania.