Obtenha hoje um certificado SSL para o seu site é extremamente simplesAlém disso, os custos destes diminuíram consideravelmente em comparação com 4-5 anos atrás, quando o gigante das buscas "Google" começou a dar um melhor posicionamento aos sites "https".
Naquela época, obter um certificado SSL a um preço acessível era realmente difícil, mas hoje ele pode até ser obtido gratuitamente com a ajuda de Let's Encrypt.
Let's Encrypt é um centro de certificação sem fins lucrativos que fornece certificados gratuitamente para todos. E agora anunciou a introdução de um novo esquema de autorização de certificados para domínios.
Acesso ao servidor que hospeda o diretório «/.well-known/acme-challenge/» usado na varredura agora será executado usando várias solicitações HTTP enviadas de 4 endereços IP diferentes localizados em centros de dados diferentes e pertencentes a diferentes sistemas autônomos. Uma verificação é considerada bem-sucedida apenas se pelo menos 3 de 4 solicitações de IPs diferentes forem bem-sucedidas.
Digitalização de várias sub-redes você minimizará os riscos de obter certificados para domínios estrangeiros conduzindo ataques direcionados que redirecionam o tráfego por meio da substituição de rotas não autorizadas usando BGP.
Ao usar um sistema de verificação de várias posições, um invasor precisará atingir simultaneamente o redirecionamento de rota para vários sistemas de provedores autônomos com diferentes uplinks, o que é muito mais complicado do que redirecionar uma única rota.
Depois de 19 de fevereiro, faremos quatro solicitações de validação completa (1 de um data center primário e 3 de data centers remotos). A solicitação principal e pelo menos 2 das 3 solicitações remotas devem receber o valor de resposta de desafio correto para que o domínio seja considerado autoritativo.
No futuro, continuaremos avaliando a adição de mais informações sobre a rede e podemos alterar o número e o limite necessários.
Além disso, o envio de solicitações de diferentes IPs aumentará a confiabilidade da verificação no caso de hosts individuais do Let's Encrypt entrarem nas listas de bloqueio (por exemplo, na Rússia, algum IP letsencrypt.org caiu no bloqueio Roskomnadzor).
Até 1º de junho, haverá um período de transição que permitirá a geração de certificados mediante verificação bem-sucedida do data center primário quando o host não estiver disponível em outras sub-redes (por exemplo, isso pode acontecer se o administrador do host no firewall permitir solicitações apenas do data center primário Let's Encrypt ou devido à violação da sincronização de zona no DNS).
De acordo com os registros, uma lista de permissões será preparada para domínios com problemas de verificação em 3 data centers adicionais. Apenas domínios com detalhes de contato na lista de permissões. Se o domínio não estiver na lista de permissões, a solicitação de instalações também pode ser enviada por meio de um formulário especial.
Atualmente, Let's Encrypt emitiu 113 milhões de certificados cobrindo cerca de 190 milhões de domínios (150 milhões de domínios foram cobertos há um ano e 61 milhões foram cobertos há dois anos).
De acordo com estatísticas do serviço de telemetria do Firefox, a porcentagem global de solicitações de páginas por HTTPS é de 81% (77% há um ano, 69% há dois anos) e 91% nos Estados Unidos.
Além disso, A intenção da Apple de parar de confiar em certificados com vida útil de mais de 398 dias pode ser vista (13 meses) no navegador Safari.
Bem, agora você planeja introduzir a restrição apenas para certificados emitidos a partir de 1 de setembro de 2020. Para certificados com um longo período de validade recebidos antes de 1 de setembro, a confiança será mantida, mas será limitada a 825 dias (2.2 anos) .
A mudança pode afetar negativamente os negócios das autoridades de certificação que vendem certificados baratos com um longo período de validade de até 5 anos.
De acordo com a Apple, a geração de tais certificados apresenta riscos de segurança adicionais, interfere na implementação operacional de novos padrões criptográficos e permite que os invasores monitorem o tráfego da vítima por um longo tempo ou o usem para falsificação no caso de um vazamento discreto do certificado como resultado de um hacking.