Dnes získajte certifikát SSL pre váš web je to nesmierne jednoduchéOkrem toho sa ich náklady výrazne znížili v porovnaní s obdobím spred približne 4 až 5 rokov, keď vyhľadávací gigant „Google“ začal dávať lepšiu pozíciu webovým stránkam „https“.
V tom čase bolo získanie certifikátu SSL za prijateľnú cenu naozaj ťažké, ale dnes dá sa dokonca získať zadarmo pomocou Let's Encrypt.
Let's Encrypt je neziskové certifikačné centrum ktorá poskytuje certifikáty zadarmo všetkým. A teraz oznámila zavedenie novej autorizačnej schémy certifikátov pre domény.
Prístup na server, ktorý je hostiteľom adresára «/.well-known/acme-challenge/» použité pri kontrole sa teraz budú vykonávať pomocou viacerých požiadaviek HTTP odoslaných zo 4 rôznych adries IP umiestnených v rôznych dátových centrách a vlastnených rôznymi autonómnymi systémami. Overenie sa považuje za úspešné, iba ak sú úspešné aspoň 3 zo 4 požiadaviek z rôznych adries IP.
Skenovanie z viacerých podsietí minimalizujete riziká získavania certifikátov pre zahraničné domény uskutočňovaním cielených útokov, ktoré presmerujú prenos pomocou nahradenia nepoctivých trás pomocou BGP.
Pri použití systému overovania viacerých pozícií bude musieť útočník súčasne dosiahnuť presmerovanie trasy pre viac systémov autonómneho poskytovateľa s rôznymi uplinkmi, čo je oveľa komplikovanejšie ako presmerovanie jednej trasy.
Po 19. februári urobíme štyri úplné žiadosti o overenie (1 z primárneho dátového centra a 3 zo vzdialených dátových centier). Hlavná požiadavka a najmenej 2 z 3 vzdialených požiadaviek musia dostať správnu hodnotu odozvy na výzvu, aby sa doména mohla považovať za smerodajnú.
V budúcnosti budeme pokračovať v vyhodnocovaní pridávania ďalších štatistík sietí a môžeme zmeniť požadovaný počet a limit.
Okrem toho, posielanie požiadaviek z rôznych adries IP zvýši spoľahlivosť overenia v prípade, že jednotliví hostitelia Let's Encrypt vstúpia do zoznamov blokovania (napr. v Rusku niektoré IP letsencrypt.org spadali pod blokovanie Roskomnadzor).
Do 1. júna bude prechodné obdobie ktorá umožní generovanie certifikátov po úspešnom overení z primárneho dátového centra, keď je hostiteľ nedostupný z iných podsietí (napríklad k tomu môže dôjsť, ak správca hostiteľa na bráne firewall povolil požiadavky z primárneho dátového centra iba Šifrujme alebo kvôli narušenie synchronizácie zón v DNS).
Podľa záznamov, bude pripravený zoznam povolených pre domény, ktoré majú problémy s overením z 3 ďalších dátových centier. Iba domény s kontaktnými údajmi na bielom zozname. Ak doména nie je na bielom zozname, žiadosť o vybavenie je možné podať aj prostredníctvom špeciálneho formulára.
Dnes Let's Encrypt vydal 113 miliónov certifikátov pokrývajúcich asi 190 miliónov domén (150 miliónov domén bolo pokrytých pred rokom a 61 miliónov bolo pokrytých pred dvoma rokmi).
Podľa štatistík telemetrickej služby Firefoxu je globálne percento požiadaviek na stránku cez HTTPS 81% (pred rokom 77%, pred dvoma rokmi 69%) a v Spojených štátoch 91%.
Okrem toho, Je vidieť zámer spoločnosti Apple prestať dôverovať certifikátom s trvanlivosťou viac ako 398 dní (13 mesiacov) v prehliadači Safari.
Teraz plánujete zaviesť obmedzenie iba pre certifikáty vydané od 1. septembra 2020. Pokiaľ ide o certifikáty s dlhou dobou platnosti prijaté pred 1. septembrom, dôvera sa zachová, bude však obmedzená na 825 dní (2.2 roka).
Zmena by mohla negatívne ovplyvniť podnikanie certifikačných autorít, ktoré predávajú lacné certifikáty s dlhou dobou platnosti až 5 rokov.
Podľa Apple predstavuje generovanie takýchto certifikátov ďalšie bezpečnostné riziká, zasahuje do prevádzkovej implementácie nových kryptografických štandardov a umožňuje útočníkom dlhodobo monitorovať prenos obetí alebo ju použiť na spoofing v prípade diskrétneho úniku certifikátu v dôsledku hackerstva.