Astăzi obțineți un certificat SSL pentru site-ul dvs. web este extrem de simpluÎn plus, costurile acestora au scăzut considerabil comparativ cu acum 4-5 ani când gigantul de căutare „Google” a început să ofere o poziționare mai bună site-urilor web „https”.
În acel moment, obținerea unui certificat SSL la un preț accesibil era cu adevărat dificil, dar astăzi poate fi obținut chiar gratuit cu ajutorul Let's Encrypt.
Let's Encrypt este un centru de certificare non-profit care oferă certificate gratuit tuturor. Și acum a anunțat introducerea unui nou sistem de autorizare de certificate pentru domenii.
Acces la serverul care găzduiește directorul «/.well-known/acme-challenge/» utilizate în scanare vor fi efectuate acum folosind mai multe solicitări HTTP trimise de la 4 adrese IP diferite situate în centre de date diferite și deținute de diferite sisteme autonome. O verificare este considerată reușită numai dacă cel puțin 3 din 4 cereri de la IP-uri diferite au succes.
Scanare din mai multe subrețele minimizați riscurile obținerii de certificate pentru domenii străine prin efectuarea de atacuri direcționate care redirecționează traficul prin substituirea rutei necinstite folosind BGP.
Atunci când se utilizează un sistem de verificare cu mai multe poziții, un atacator va trebui să realizeze simultan redirecționarea rutei pentru mai multe sisteme de furnizori autonomi cu legături în sus diferite, ceea ce este mult mai complicat decât redirecționarea unui singur traseu.
După 19 februarie, vom face patru cereri de validare complete (1 de la un centru de date primar și 3 de la centre de date la distanță). Solicitarea principală și cel puțin 2 din cele 3 solicitări de la distanță trebuie să primească valoarea corectă a răspunsului la provocare pentru ca domeniul să fie considerat autoritar.
În viitor, vom continua să evaluăm adăugarea mai multor informații despre rețea și putem modifica numărul și pragul necesar.
În plus, trimiterea cererilor din diferite adrese IP va spori fiabilitatea verificării în cazul în care gazdele individuale Let's Encrypt intră în listele de blocuri (de exemplu, în Rusia, unele IP-uri permitencrypt.org au intrat sub blocarea Roskomnadzor).
Până la 1 iunie va exista o perioadă de tranziție ceea ce va permite generarea certificatelor la verificarea cu succes de la centrul de date primar atunci când gazda nu este disponibilă din alte subrețele (de exemplu, acest lucru se poate întâmpla dacă administratorul gazdei de pe firewall a permis cererile numai de la centrul de date principal Să criptăm sau din cauza încălcării sincronizării zonei în DNS).
Conform înregistrărilor, va fi pregătită o listă albă pentru domeniile cu probleme de verificare din 3 centre de date suplimentare. Numai domeniile cu detalii de contact din lista albă. Dacă domeniul nu este pe lista albă, cererea pentru facilități poate fi trimisă și printr-un formular special.
În prezent, Let's Encrypt a emis 113 milioane de certificate care acoperă aproximativ 190 de milioane de domenii (150 de milioane de domenii au fost acoperite acum un an și 61 de milioane au fost acoperite acum doi ani).
Conform statisticilor serviciului de telemetrie Firefox, procentul global de solicitări de pagini peste HTTPS este de 81% (77% acum un an, 69% acum doi ani) și 91% în Statele Unite.
În plus, Se vede intenția Apple de a nu mai avea încredere în certificatele cu termen de valabilitate mai mare de 398 de zile (13 luni) în browserul Safari.
Ei bine, acum intenționați să introduceți restricția numai pentru certificatele emise de la 1 septembrie 2020. Pentru certificatele cu o perioadă lungă de valabilitate primite înainte de 1 septembrie, încrederea va fi menținută, dar va fi limitată la 825 de zile (2.2 ani) .
Modificarea ar putea afecta negativ activitatea autorităților de certificare care vând certificate ieftine cu o perioadă lungă de valabilitate de până la 5 ani.
Potrivit Apple, generarea unor astfel de certificate prezintă riscuri suplimentare de securitate, interferează cu implementarea operațională a noilor standarde criptografice și permite atacatorilor să monitorizeze traficul victimei pentru o lungă perioadă de timp sau să-l folosească pentru falsificare în cazul unei scurgeri discrete a certificatului ca urmare a pirateriei.