Få idag ett SSL-certifikat för din webbplats det är extremt enkeltDessutom har kostnaderna för dessa minskat avsevärt jämfört med för cirka 4-5 år sedan när sökjätten "Google" började ge en bättre positionering till "https" -webbplatser.
Vid den tiden var det verkligen svårt att få ett SSL-certifikat till ett överkomligt pris, men idag det kan till och med erhållas gratis med hjälp av Let's Encrypt.
Let's Encrypt är ett ideellt certifieringscenter som ger certifikat gratis för alla. Och nu har det meddelat införandet av ett nytt tillståndssystem av certifikat för domäner.
Tillgång till servern som är värd för katalogen «/.well-known/acme-challenge/» används i skanningen kommer nu att utföras med hjälp av flera HTTP-förfrågningar som skickas från fyra olika IP-adresser i olika datacenter och som ägs av olika autonoma system. En verifiering anses endast vara framgångsrik om minst tre av fyra förfrågningar från olika IP: er lyckas.
Skanning från flera undernät du kommer att minimera riskerna med att få certifikat för utländska domäner genom att genomföra riktade attacker som omdirigerar trafik genom oseriös ruttbyte med BGP.
När du använder ett verifieringssystem med flera positioner måste en angripare samtidigt uppnå omdirigering för flera autonoma leverantörssystem med olika upplänkar, vilket är mycket mer komplicerat än att omdirigera en enda rutt.
Efter den 19 februari kommer vi att göra fyra fullständiga valideringsförfrågningar (1 från ett primärt datacenter och 3 från fjärrdatacenter). Huvudförfrågan och minst 2 av de tre fjärrförfrågningarna måste få rätt svarsvärde för utmaningen för att domänen ska anses vara auktoritär.
I framtiden kommer vi att fortsätta utvärdera att lägga till fler nätverksinsikter och kan ändra antalet och tröskeln som krävs.
Dessutom, skicka förfrågningar från olika IP-adresser kommer att öka tillförlitligheten för verifieringen om enskilda Let's Encrypt-värdar går in i blocklistorna (t.ex. i Ryssland faller vissa IP letsencrypt.org under Roskomnadzor-blockering).
Fram till den 1 juni kommer det att finnas en övergångsperiod som gör det möjligt att generera certifikat efter framgångsrik verifiering från det primära datacentret när värden inte är tillgänglig från andra undernät (till exempel kan detta hända om värdadministratören i brandväggen tillåter endast begäran från det primära datacentret Låt oss kryptera eller på grund av brott mot zonsynkronisering i DNS).
Enligt uppgifternakommer en vitlista att utarbetas för domäner som har problem med att verifiera från ytterligare tre datacenter. Endast domäner med vitlistad kontaktinformation. Om domänen inte finns på vitlistan kan begäran om faciliteter också skickas in via ett särskilt formulär.
För närvarande har Let's Encrypt utfärdat 113 miljoner certifikat som täcker cirka 190 miljoner domäner (150 miljoner domäner täcktes för ett år sedan och 61 miljoner täcktes för två år sedan).
Enligt statistik från Firefox: s telemetritjänst är den globala andelen sidförfrågningar över HTTPS 81% (77% för ett år sedan, 69% för två år sedan) och 91% i USA.
Dessutom, Apples avsikt att sluta lita på certifikat med en hållbarhetstid på mer än 398 dagar kan ses (13 månader) i webbläsaren Safari.
Nåväl planerar du att införa begränsningen endast för certifikat som utfärdas från och med den 1 september 2020. För certifikat med en lång giltighetsperiod som mottogs före den 1 september kommer förtroendet att bibehållas, men det kommer att vara begränsat till 825 dagar (2.2 år).
Förändringen kan påverka verksamheten hos certifieringsmyndigheter som säljer billiga certifikat med en lång giltighetstid på upp till 5 år.
Enligt Apple innebär genereringen av sådana certifikat ytterligare säkerhetsrisker, stör den operativa implementeringen av nya kryptografiska standarder och gör det möjligt för angripare att övervaka offertrafik under lång tid eller använda den för spoofing i händelse av en diskret läcka av certifikatet till följd av hacking.