วันนี้รับใบรับรอง SSL สำหรับเว็บไซต์ของคุณ มันง่ายมากนอกจากนั้นค่าใช้จ่ายเหล่านี้ยังลดลงอย่างมากเมื่อเทียบกับประมาณ 4-5 ปีที่แล้วเมื่อยักษ์ใหญ่ด้านการค้นหา "Google" เริ่มให้ตำแหน่งที่ดีขึ้นในเว็บไซต์ "https"
ในเวลานั้นการได้รับใบรับรอง SSL ในราคาที่เหมาะสมเป็นเรื่องยากมาก แต่วันนี้ สามารถรับได้ฟรีด้วยความช่วยเหลือของ Let's Encrypt
Let's Encrypt เป็นศูนย์รับรองไม่แสวงหาผลกำไร ซึ่งให้ใบรับรองฟรีสำหรับทุกคน และตอนนี้ได้ประกาศเปิดตัวโครงการการอนุญาตใหม่ ใบรับรองสำหรับโดเมน
เข้าถึงเซิร์ฟเวอร์ที่โฮสต์ไดเร็กทอรี« /.well-known/acme-challenge/ » ที่ใช้ในการสแกนตอนนี้จะดำเนินการโดยใช้คำขอ HTTP หลายรายการที่ส่งจากที่อยู่ IP ที่แตกต่างกัน 4 ที่อยู่ในศูนย์ข้อมูลที่แตกต่างกันและเป็นเจ้าของโดยระบบอิสระที่แตกต่างกัน การยืนยันจะถือว่าสำเร็จก็ต่อเมื่อคำขออย่างน้อย 3 ใน 4 รายการจาก IP ที่แตกต่างกันประสบความสำเร็จ
การสแกนจากเครือข่ายย่อยหลายเครือข่าย คุณจะลดความเสี่ยงในการได้รับใบรับรองสำหรับโดเมนต่างประเทศ โดยทำการโจมตีแบบกำหนดเป้าหมายที่เปลี่ยนเส้นทางการรับส่งข้อมูลผ่านการทดแทนเส้นทางหลอกลวงโดยใช้ BGP
เมื่อใช้ระบบการตรวจสอบหลายตำแหน่งผู้โจมตีจะต้องดำเนินการเปลี่ยนเส้นทางสำหรับระบบผู้ให้บริการอิสระหลายระบบพร้อมกันซึ่งมีความซับซ้อนมากกว่าการเปลี่ยนเส้นทางเส้นทางเดียว
หลังจากวันที่ 19 กุมภาพันธ์เราจะส่งคำขอตรวจสอบความถูกต้องทั้งหมดสี่รายการ (1 รายการจากศูนย์ข้อมูลหลักและ 3 รายการจากศูนย์ข้อมูลระยะไกล) คำขอหลักและคำขอระยะไกลอย่างน้อย 2 ใน 3 รายการต้องได้รับค่าการตอบสนองการท้าทายที่ถูกต้องเพื่อให้โดเมนถือว่ามีสิทธิ์
ในอนาคตเราจะประเมินเพิ่มข้อมูลเชิงลึกของเครือข่ายต่อไปและอาจเปลี่ยนแปลงจำนวนและเกณฑ์ที่ต้องการ
นอกจากนี้ การส่งคำขอจาก IP ที่แตกต่างกันจะเพิ่มความน่าเชื่อถือของการตรวจสอบ ในกรณีที่โฮสต์ Let's Encrypt แต่ละรายการเข้าสู่รายการบล็อก (เช่นในรัสเซีย IP บางรายการที่ letencrypt.org ตกอยู่ภายใต้การบล็อกของ Roskomnadzor)
จนถึงวันที่ 1 มิถุนายนจะมีช่วงการเปลี่ยนแปลง ซึ่งจะช่วยให้สามารถสร้างใบรับรองได้เมื่อการยืนยันสำเร็จจากศูนย์ข้อมูลหลักเมื่อโฮสต์ไม่พร้อมใช้งานจากเครือข่ายย่อยอื่น ๆ (ตัวอย่างเช่นกรณีนี้อาจเกิดขึ้นได้หากผู้ดูแลระบบโฮสต์บนไฟร์วอลล์อนุญาตคำขอจากศูนย์ข้อมูลหลักเท่านั้น Let's Encrypt หรือเนื่องจากการละเมิดการซิงโครไนซ์โซนใน DNS)
ตามบันทึกจะมีการจัดเตรียมรายการที่อนุญาตพิเศษสำหรับโดเมนที่มีปัญหาในการยืนยันจากศูนย์ข้อมูลเพิ่มเติม 3 แห่ง. เฉพาะโดเมนที่มีรายละเอียดการติดต่อที่อนุญาตพิเศษ หากโดเมนไม่อยู่ในบัญชีขาวคุณสามารถยื่นคำร้องขอสิ่งอำนวยความสะดวกผ่านแบบฟอร์มพิเศษได้
ปัจจุบัน Let's Encrypt ได้ออกใบรับรอง 113 ล้านใบครอบคลุมโดเมนประมาณ 190 ล้านโดเมน (150 ล้านโดเมนถูกครอบคลุมในปีที่แล้วและ 61 ล้านถูกครอบคลุมเมื่อสองปีก่อน)
ตามสถิติจากบริการ telemetry ของ Firefox เปอร์เซ็นต์ทั่วโลกของคำขอเพจผ่าน HTTPS คือ 81% (77% ในปีที่แล้ว 69% เมื่อสองปีก่อน) และ 91% ในสหรัฐอเมริกา
นอกจากนี้ ความตั้งใจของ Apple ในการเลิกเชื่อถือใบรับรองที่มีอายุการเก็บรักษามากกว่า 398 วันนั้นสามารถเห็นได้ (13 เดือน) ในเบราว์เซอร์ Safari
ตอนนี้คุณวางแผนที่จะแนะนำข้อ จำกัด สำหรับใบรับรองที่ออกตั้งแต่วันที่ 1 กันยายน 2020 เท่านั้นสำหรับใบรับรองที่ได้รับระยะเวลานานก่อนวันที่ 1 กันยายนความน่าเชื่อถือจะยังคงอยู่ แต่จะ จำกัด ไว้ที่ 825 วัน (2.2 ปี) .
การเปลี่ยนแปลงดังกล่าวอาจส่งผลเสียต่อธุรกิจของหน่วยงานรับรองที่ขายใบรับรองราคาถูกซึ่งมีอายุการใช้งานยาวนานถึง 5 ปี
ตามที่ Apple ระบุว่าการสร้างใบรับรองดังกล่าวก่อให้เกิดความเสี่ยงด้านความปลอดภัยเพิ่มเติมขัดขวางการดำเนินการตามมาตรฐานการเข้ารหัสใหม่และอนุญาตให้ผู้โจมตีตรวจสอบการรับส่งข้อมูลของเหยื่อเป็นเวลานานหรือใช้เพื่อปลอมแปลงในกรณีที่ใบรับรองรั่วไหลอย่างรอบคอบอันเป็นผลมาจากการแฮ็ก