Danes pridobite SSL potrdilo za vaše spletno mesto je zelo preprostoPoleg tega so se njihovi stroški znatno zmanjšali v primerjavi s približno 4-5 leti nazaj, ko je iskalni gigant "Google" začel boljše pozicionirati spletna mesta "https".
Takrat je bilo pridobivanje SSL certifikata po dostopni ceni res težko, danes pa celo brezplačno ga je mogoče dobiti s pomočjo Let's Encrypt.
Let's Encrypt je neprofitni certifikacijski center ki vsem ponuja brezplačna potrdila. In zdaj je napovedal uvedbo novega sistema odobritve certifikatov za domene.
Dostop do strežnika, ki gosti imenik «/.well-known/acme-challenge/» uporabljena pri skeniranju bo zdaj izvedena z uporabo več HTTP zahtev, poslanih s 4 različnih naslovov IP, ki se nahajajo v različnih podatkovnih centrih in so v lasti različnih avtonomnih sistemov. Preverjanje se šteje za uspešno le, če so uspešne vsaj 3 od 4 zahtev z različnih IP-jev.
Optično branje iz več podomrežij zmanjšali boste tveganje za pridobitev potrdil za tuje domene z izvajanjem usmerjenih napadov, ki preusmerjajo promet z nadomestitvijo prevare z uporabo BGP.
Pri uporabi večpozicijskega sistema za preverjanje bo moral napadalec hkrati doseči preusmeritev poti za več avtonomnih sistemov ponudnikov z različnimi povezavami navzgor, kar je veliko bolj zapleteno kot preusmeritev ene same poti.
Po 19. februarju bomo podali štiri popolne zahteve za preverjanje (1 iz primarnega podatkovnega centra in 3 iz oddaljenih podatkovnih centrov). Glavna zahteva in vsaj 2 od treh oddaljenih zahtev morata prejeti pravilno vrednost odziva na izziv, da bo domena veljala za avtoritativno.
V prihodnosti bomo še naprej ocenjevali dodajanje dodatnih vpogledov v omrežje in lahko spremenili zahtevano število in prag.
Poleg tega, pošiljanje zahtev iz različnih IP-jev bo povečalo zanesljivost preverjanja v primeru, da posamezni gostitelji Let's Encrypt vstopijo na sezname blokov (npr. v Rusiji je nekaj IP letsencrypt.org padlo pod blokado Roskomnadzorja).
Do 1. junija bo prehodno obdobje ki bo omogočil generiranje potrdil po uspešnem preverjanju iz primarnega podatkovnega centra, ko gostitelj ni na voljo iz drugih podomrežij (na primer, to se lahko zgodi, če je skrbnik gostitelja na požarnem zidu dovolil zahteve samo iz primarnega podatkovnega centra Let's Encrypt ali zaradi kršitev sinhronizacije con v DNS).
Glede na zapise, za domene, ki imajo težave s preverjanjem iz 3 dodatnih podatkovnih centrov, bo pripravljen seznam dovoljenih. Samo domene s kontaktnimi podatki na seznamu dovoljenih. Če domene ni na belem seznamu, lahko zahtevo za zmogljivosti oddate tudi s posebnim obrazcem.
Danes Let's Encrypt je izdal 113 milijonov potrdil, ki zajemajo približno 190 milijonov domen (pred enim letom so pokrili 150 milijonov domen, pred dvema letoma pa 61 milijonov).
Po statističnih podatkih Firemetove telemetrične storitve znaša globalni odstotek zahtev po straneh prek HTTPS 81% (pred letom 77%, pred dvema letoma 69%) in v ZDA 91%.
Poleg tega, Očitno je, da namerava Apple prenehati zaupati certifikatom z rokom trajanja več kot 398 dni (13 mesecev) v brskalniku Safari.
No, zdaj nameravate uvesti omejitev samo za potrdila, izdana od 1. septembra 2020. Za potrdila z dolgo veljavnostjo, prejeta pred 1. septembrom, se bo zaupanje ohranilo, vendar bo omejeno na 825 dni (2.2 leta).
Sprememba bi lahko negativno vplivala na poslovanje certifikacijskih organov, ki prodajajo poceni certifikate z dolgo veljavnostjo do 5 let.
Po navedbah Apple generacija takšnih potrdil predstavlja dodatno varnostno tveganje, posega v operativno izvajanje novih kriptografskih standardov in omogoča napadalcem, da dolgo spremljajo promet žrtev ali ga uporabljajo za ponarejanje v primeru diskretnega puščanja potrdila zaradi vdora.