Сьогодні отримайте сертифікат SSL для вашого веб-сайту це надзвичайно простоНа додаток до цього витрати на них значно зменшились порівняно з приблизно 4-5 роками тому, коли пошуковий гігант "Google" став надавати краще позиціонування веб-сайтам "https".
На той час отримати сертифікат SSL за доступною ціною було дійсно важко, але сьогодні його навіть можна отримати безкоштовно за допомогою Let's Encrypt.
Let's Encrypt - це некомерційний центр сертифікації який надає сертифікати безкоштовно всім. І зараз він оголосив про введення нової схеми авторизації сертифікатів для доменів.
Доступ до сервера, на якому розміщено каталог «/.well-known/acme-challenge/» Використовуваний при скануванні тепер буде виконуватися з використанням декількох HTTP-запитів, надісланих з 4 різних IP-адрес, розташованих у різних центрах обробки даних і що належать різним автономним системам. Перевірка вважається успішною лише в тому випадку, якщо принаймні 3 із 4 запитів з різних IP-адрес є успішними.
Сканування з декількох підмереж ви мінімізуєте ризики отримання сертифікатів для іноземних доменів шляхом проведення цілеспрямованих атак, які переспрямовують трафік шляхом заміни неправдивих маршрутів за допомогою BGP
При використанні багатопозиційної системи перевірки зловмиснику потрібно одночасно досягти перенаправлення маршруту для декількох автономних систем провайдера з різними висхідними посиланнями, що набагато складніше, ніж перенаправлення одного маршруту.
Після 19 лютого ми зробимо чотири повні запити на перевірку (1 з основного центру обробки даних та 3 з віддалених центрів обробки даних). Основний запит і принаймні 2 із 3 віддалених запитів повинні отримати правильне значення відповіді на виклик, щоб домен вважався авторитетним.
Надалі ми продовжуватимемо оцінювати додавання нових статистичних даних про мережу та може змінити необхідну кількість та поріг.
Крім того, надсилання запитів з різних ІР збільшить надійність перевірки на випадок, якщо окремі хости Let's Encrypt потраплять у списки блоків (наприклад, у Росії деякі IP letsencrypt.org потрапили під блокування Роскомнагляду).
До 1 червня буде перехідний період що дозволить генерувати сертифікати після успішної перевірки з первинного центру обробки даних, коли хост недоступний з інших підмереж (наприклад, це може статися, якщо адміністратор хосту на брандмауері дозволив запити лише з первинного центру обробки даних Let's Encrypt або через порушення синхронізації зон у DNS).
За записами, білий список буде підготовлений для доменів, які мають проблеми з підтвердженням з 3 додаткових центрів обробки даних. Лише домени з контактними даними в білому списку. Якщо домен не входить у білий список, запит на послуги також можна подати за допомогою спеціальної форми.
Сьогодні Let's Encrypt видав 113 мільйонів сертифікатів, що охоплюють близько 190 мільйонів доменів (150 мільйонів доменів було охоплено рік тому, а 61 мільйон - два роки тому).
Згідно зі статистикою служби телеметрії Firefox, загальний відсоток запитів сторінок через HTTPS становить 81% (77% рік тому, 69% два роки тому) та 91% у Сполучених Штатах.
Крім того, Можна побачити намір Apple припинити довіру сертифікатам із терміном зберігання понад 398 днів (13 місяців) у браузері Safari.
Ну, тепер ви плануєте ввести обмеження лише для сертифікатів, виданих з 1 вересня 2020 року. Для сертифікатів з тривалим терміном дії, отриманих до 1 вересня, довіра зберігатиметься, але воно буде обмежене 825 днями (2.2 року).
Зміна може негативно позначитися на бізнесі сертифікаційних органів, які продають дешеві сертифікати з тривалим терміном дії до 5 років.
На думку Apple, генерація таких сертифікатів створює додаткові ризики для безпеки, заважає оперативному впровадженню нових криптографічних стандартів і дозволяє зловмисникам тривалий час відстежувати трафік жертв або використовувати його для підробки у випадку непомітного витоку сертифіката в результаті злому.