Let's Encrypt đã công bố một chương trình ủy quyền chứng chỉ mới

let-Encrypt

Hôm nay nhận được chứng chỉ SSL cho trang web của bạn nó cực kỳ đơn giảnNgoài ra, chi phí của những thứ này đã giảm đáng kể so với 4-5 năm trước khi gã khổng lồ tìm kiếm "Google" bắt đầu đưa ra định vị tốt hơn cho các trang web "https".

Vào thời điểm đó, việc nhận được chứng chỉ SSL với giá cả phải chăng thực sự khó khăn, nhưng ngày nay nó thậm chí có thể được lấy miễn phí với sự trợ giúp của Let's Encrypt.

Let's Encrypt là một trung tâm chứng nhận phi lợi nhuận cung cấp chứng chỉ miễn phí cho tất cả mọi người. Và bây giờ nó đã thông báo về việc giới thiệu một kế hoạch ủy quyền mới chứng chỉ cho các miền.

Truy cập vào máy chủ lưu trữ thư mục «/.well-known/acme-challenge/» được sử dụng trong quá trình quét giờ đây sẽ được thực hiện bằng cách sử dụng nhiều yêu cầu HTTP được gửi từ 4 địa chỉ IP khác nhau nằm trong các trung tâm dữ liệu khác nhau và thuộc sở hữu của các hệ thống tự quản khác nhau. Việc xác minh chỉ được coi là thành công nếu ít nhất 3 trong số 4 yêu cầu từ các IP khác nhau thành công.

Quét từ nhiều mạng con bạn sẽ giảm thiểu rủi ro khi nhận được chứng chỉ cho các miền nước ngoài bằng cách tiến hành các cuộc tấn công có chủ đích chuyển hướng lưu lượng truy cập thông qua thay thế tuyến đường giả mạo bằng cách sử dụng BGP.

Khi sử dụng hệ thống xác minh nhiều vị trí, kẻ tấn công sẽ cần đồng thời đạt được chuyển hướng tuyến đường cho nhiều hệ thống nhà cung cấp tự trị với các liên kết lên khác nhau, điều này phức tạp hơn nhiều so với việc chuyển hướng một tuyến đường.

Sau ngày 19 tháng 1, chúng tôi sẽ thực hiện bốn yêu cầu xác thực đầy đủ (3 từ trung tâm dữ liệu chính và 2 từ trung tâm dữ liệu từ xa). Yêu cầu chính và ít nhất 3 trong số XNUMX yêu cầu từ xa phải nhận được giá trị phản hồi thử thách chính xác để miền được coi là có thẩm quyền.

Trong tương lai, chúng tôi sẽ tiếp tục đánh giá thêm nhiều thông tin chi tiết về mạng và có thể thay đổi số lượng và ngưỡng bắt buộc.

Bên cạnh đó, gửi yêu cầu từ các IP khác nhau sẽ tăng độ tin cậy của việc xác minh trong trường hợp từng máy chủ Let's Encrypt nhập danh sách chặn (ví dụ: ở Nga, một số IP letsencrypt.org đã bị chặn bởi Roskomnadzor).

Cho đến ngày 1 tháng XNUMX, sẽ có một giai đoạn chuyển tiếp điều này sẽ cho phép các chứng chỉ được tạo khi xác minh thành công từ trung tâm dữ liệu chính khi máy chủ không khả dụng từ các mạng con khác (ví dụ: điều này có thể xảy ra nếu quản trị viên máy chủ trên tường lửa chỉ cho phép các yêu cầu từ trung tâm dữ liệu chính Let's Encrypt hoặc do vi phạm đồng bộ hóa vùng trong DNS).

Theo hồ sơ, một danh sách trắng sẽ được chuẩn bị cho các miền gặp sự cố khi xác minh từ 3 trung tâm dữ liệu bổ sung. Chỉ những miền có chi tiết liên hệ trong danh sách trắng. Nếu miền không nằm trong danh sách trắng, bạn cũng có thể gửi yêu cầu về cơ sở vật chất qua một biểu mẫu đặc biệt.

Hôm nay Let's Encrypt đã phát hành 113 triệu chứng chỉ bao gồm khoảng 190 triệu tên miền (150 triệu tên miền đã được cung cấp cách đây một năm và 61 triệu được cung cấp cách đây hai năm).

Theo thống kê của dịch vụ đo từ xa Firefox, tỷ lệ yêu cầu trang trên toàn cầu qua HTTPS là 81% (77% một năm trước, 69% hai năm trước) và 91% ở Hoa Kỳ.

Bên cạnh đó, Có thể thấy ý định của Apple ngừng tin tưởng các chứng chỉ có thời hạn sử dụng hơn 398 ngày (13 tháng) trong trình duyệt Safari.

Bây giờ bạn có kế hoạch giới hạn chỉ cho các chứng chỉ được cấp từ ngày 1 tháng 2020 năm 1. Đối với các chứng chỉ có thời hạn hiệu lực dài nhận được trước ngày 825 tháng 2.2, sự tin tưởng sẽ được duy trì, nhưng nó sẽ bị giới hạn trong XNUMX ngày (XNUMX năm).

Sự thay đổi này có thể ảnh hưởng tiêu cực đến hoạt động kinh doanh của các cơ quan cấp giấy chứng nhận bán các chứng chỉ giá rẻ với thời hạn hiệu lực dài hạn lên đến 5 năm.

Theo Apple, việc tạo ra các chứng chỉ như vậy có nguy cơ bảo mật bổ sung, can thiệp vào việc triển khai hoạt động của các tiêu chuẩn mật mã mới và cho phép kẻ tấn công theo dõi lưu lượng truy cập của nạn nhân trong một thời gian dài hoặc sử dụng nó để giả mạo trong trường hợp bị rò rỉ chứng chỉ một cách kín đáo do bị hack.


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố.

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.