Ngayon kumuha ng isang sertipiko ng SSL para sa iyong website ito ay lubos na simpleBilang karagdagan sa na ang mga gastos ng mga ito ay nabawasan nang malaki kumpara sa tungkol sa 4-5 taon na ang nakaraan kapag ang search higanteng "Google" ay nagsimulang magbigay ng isang mas mahusay na pagpoposisyon sa mga "https" na mga website.
Sa oras na iyon, ang pagkuha ng isang sertipiko ng SSL sa isang abot-kayang presyo ay talagang mahirap, ngunit ngayon maaari rin itong makuha nang libre sa tulong ng Let's Encrypt.
Let's Encrypt ay isang sentro ng sertipikasyon na hindi kumikita na nagbibigay ng mga sertipiko nang libre sa lahat. At ngayon ay inihayag nito ang pagpapakilala ng isang bagong pamamaraan ng pahintulot ng mga sertipiko para sa mga domain.
Pag-access sa server na nagho-host ng direktoryo «/.well-known/acme-challenge/» gaganapin sa pag-scan ay gaganapin ngayon gamit ang maraming mga kahilingan sa HTTP na ipinadala mula sa 4 na magkakaibang mga IP address na matatagpuan sa iba't ibang mga sentro ng data at pagmamay-ari ng iba't ibang mga autonomous system. Ang isang pag-verify ay itinuturing na matagumpay lamang kung hindi bababa sa 3 sa 4 na mga kahilingan mula sa iba't ibang mga IP ang matagumpay.
Pag-scan mula sa maraming mga subnet mababawasan mo ang mga panganib na makakuha ng mga sertipiko para sa mga dayuhang domain sa pamamagitan ng pagsasagawa ng mga naka-target na pag-atake na nagre-redirect ng trapiko sa pamamagitan ng pagpapalit ng ruta ng rogue gamit ang BGP.
Kapag gumagamit ng isang multi-posisyon na sistema ng pagpapatunay, kailangan ng isang magsasalakay na sabay na makamit ang pag-redirect ng ruta para sa maraming mga autonomous provider system na may iba't ibang mga uplink, na mas kumplikado kaysa sa pag-redirect ng isang solong ruta.
Pagkatapos ng Pebrero 19, gagawa kami ng apat na buong kahilingan sa pagpapatunay (1 mula sa isang pangunahing data center at 3 mula sa mga remote data center). Ang pangunahing kahilingan at hindi bababa sa 2 sa 3 malayuang mga kahilingan ay dapat makatanggap ng tamang halaga ng tugon ng hamon para sa domain na maituring na may kapangyarihan.
Sa hinaharap ay magpapatuloy kaming suriin ang pagdaragdag ng higit pang mga pananaw sa network at maaaring baguhin ang kinakailangan ng bilang at threshold.
Bukod dito, ang pagpapadala ng mga kahilingan mula sa iba't ibang mga IP ay magpapataas sa pagiging maaasahan ng pagpapatunay kung sakaling ang indibidwal na mga host ng Let's Encrypt ay ipasok ang mga listahan ng block (hal. sa Russia ang ilang IP letsencrypt.org ay nahulog sa ilalim ng pag-block ng Roskomnadzor).
Hanggang sa Hunyo 1, magkakaroon ng panahon ng paglipat na magpapahintulot sa mga sertipiko na mabuo sa matagumpay na pag-verify mula sa pangunahing data center kapag hindi magagamit ang host mula sa iba pang mga subnet (halimbawa, maaari itong mangyari kung ang host administrator sa firewall ay pinapayagan ang mga kahilingan mula sa pangunahing data center lamang ng Encrypt natin o dahil sa paglabag sa pagsabay ng zone sa DNS).
Ayon sa talaan, isang whitelist ang ihahanda para sa mga domain na nagkakaproblema sa pag-verify mula sa 3 karagdagang mga sentro ng data. Ang mga domain lamang na may mga whitelist na detalye ng contact. Kung ang domain ay wala sa whitelist, ang kahilingan para sa mga pasilidad ay maaari ring isumite sa pamamagitan ng isang espesyal na form.
Ngayon Let's Encrypt ay nag-isyu ng 113 milyong mga sertipiko na sumasaklaw sa halos 190 milyong mga domain (150 milyong mga domain ay sakop isang taon na ang nakakalipas at 61 milyon ang nasaklaw dalawang taon na ang nakakaraan).
Ayon sa istatistika mula sa serbisyo sa telemetry ng Firefox, ang pandaigdigang porsyento ng mga kahilingan sa pahina sa HTTPS ay 81% (77% isang taon na ang nakakaraan, 69% dalawang taon na ang nakakaraan) at 91% sa Estados Unidos.
Bukod dito, Ang intensyon ng Apple na ihinto ang pagtitiwala sa mga sertipiko na may buhay na istante na higit sa 398 araw ay makikita (13 buwan) sa browser ng Safari.
Ngayon plano mong ipakilala lamang ang paghihigpit para sa mga sertipiko na inisyu mula Setyembre 1, 2020. Para sa mga sertipiko na may mahabang panahon ng bisa na natanggap bago ang Setyembre 1, mapanatili ang pagtitiwala, ngunit malilimitahan ito sa 825 araw (2.2 taon) .
Ang pagbabago ay maaaring negatibong makaapekto sa negosyo ng mga awtoridad sa sertipikasyon na nagbebenta ng murang mga sertipiko na may mahabang panahon ng bisa hanggang 5 taon.
Ayon sa Apple, ang pagbuo ng naturang mga sertipiko ay nagdudulot ng karagdagang mga panganib sa seguridad, nakagagambala sa pagpapatupad ng pagpapatakbo ng mga bagong pamantayan ng cryptographic at pinapayagan ang mga magsasalakay na subaybayan ang trapiko ng biktima nang mahabang panahon o gamitin ito para sa spoofing sa kaso ng isang maingat na pagtagas ng sertipiko bilang isang resulta ng pag-hack.