Let's Encrypt анонсировал новую схему авторизации сертификатов

Let's-Encrypt

Получите сегодня SSL-сертификат для вашего сайта это очень простоКроме того, стоимость этих услуг значительно снизилась по сравнению с тем, что было примерно 4-5 лет назад, когда поисковый гигант Google начал лучше позиционировать https-сайты.

В то время получить SSL-сертификат по доступной цене было действительно сложно, но сегодня его даже можно получить бесплатно с помощью Let's Encrypt.

Let's Encrypt - некоммерческий центр сертификации который предоставляет всем бесплатные сертификаты. И вот объявлено о введении новой схемы авторизации. сертификатов для доменов.

Доступ к серверу, на котором размещен каталог «/.well-known/acme-challenge/» Используемое в сканировании теперь будет выполняться с использованием нескольких HTTP-запросов, отправленных с 4 разных IP-адресов, расположенных в разных центрах обработки данных и принадлежащих разным автономным системам. Проверка считается успешной только в том случае, если как минимум 3 из 4 запросов с разных IP-адресов были успешными.

Сканирование из нескольких подсетей вы минимизируете риски получения сертификатов для иностранных доменов путем проведения целевых атак, которые перенаправляют трафик путем подмены мошеннического маршрута с использованием BGP.

При использовании многопозиционной системы проверки злоумышленник должен будет одновременно выполнить перенаправление маршрута для нескольких автономных систем провайдеров с разными восходящими линиями связи, что намного сложнее, чем перенаправление одного маршрута.

После 19 февраля мы сделаем четыре запроса на полную проверку (1 из основного центра обработки данных и 3 из удаленных центров обработки данных). Основной запрос и по крайней мере 2 из 3 удаленных запросов должны получить правильное значение ответа на запрос, чтобы домен считался авторитетным.

В будущем мы продолжим оценивать добавление дополнительных сведений о сети и можем изменить необходимое количество и порог.

Кроме того, отправка запросов с разных IP-адресов повысит надежность проверки в случае попадания отдельных хостов Let's Encrypt в списки блокировки (например, в России некоторые IP letsencrypt.org попали под блокировку Роскомнадзора).

До 1 июня будет переходный период. что позволит генерировать сертификаты после успешной проверки из основного центра обработки данных, когда узел недоступен из других подсетей (например, это может произойти, если администратор узла на брандмауэре разрешил запросы только из основного центра обработки данных Let's Encrypt или из-за нарушения синхронизации зон в DNS).

Согласно записям, будет подготовлен белый список для доменов, у которых возникли проблемы с подтверждением из 3 дополнительных центров обработки данных. Только домены с контактными данными из белого списка. Если домена нет в белом списке, запрос на услуги также можно отправить через специальную форму.

Сегодня Let's Encrypt выпустил 113 миллионов сертификатов, охватывающих около 190 миллионов доменов (150 миллионов доменов были покрыты год назад и 61 миллион - два года назад).

Согласно статистике службы телеметрии Firefox, глобальный процент запросов страниц по HTTPS составляет 81% (77% год назад, 69% два года назад) и 91% в США.

Кроме того, Намерение Apple перестать доверять сертификатам со сроком хранения более 398 дней можно увидеть (13 месяцев) в браузере Safari.

Что ж, теперь вы планируете ввести ограничение только для сертификатов, выданных с 1 сентября 2020 года. Для сертификатов с длительным сроком действия, полученных до 1 сентября, доверие сохранится, но будет ограничено 825 днями (2.2 года) .

Изменение может негативно повлиять на бизнес сертификационных органов, продающих дешевые сертификаты с длительным сроком действия до 5 лет.

По мнению Apple, создание таких сертификатов создает дополнительные риски для безопасности., препятствует оперативной реализации новых криптографических стандартов и позволяет злоумышленникам длительное время отслеживать трафик жертвы или использовать его для спуфинга в случае скрытой утечки сертификата в результате взлома.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.