让我们加密宣布一个新的证书授权方案

let-加密

今天获得SSL证书 为您的网站 这非常简单此外,与大约4-5年前搜索巨头“ Google”开始为“ https”网站提供更好的定位相比,这些工具的成本已大大降低。

当时,以负担得起的价格获得SSL证书确实很困难,但是今天 甚至可以在Let's Encrypt的帮助下免费获得。

让我们加密是一个非营利性认证中心 向所有人免费提供证书。 现在,它宣布引入新的授权方案 域证书。

访问托管目录«/.well-known/acme-challenge/»的服务器 现在,将使用从位于不同数据中心并由不同自治系统拥有的4个不同IP地址发送的多个HTTP请求来执行扫描中使用的命令。 仅当来自不同IP的3个请求中至少有4个成功时,才认为验证成功。

从多个子网扫描 您将最大限度地减少获取外国域证书的风险 通过进行有针对性的攻击,通过使用BGP的恶意路由替换来重定向流量。

当使用多位置验证系统时,攻击者将需要同时实现具有不同上行链路的多个自治提供商系统的路由重定向,这比重定向单个路由要复杂得多。

19月1日之后,我们将提出四个完整的验证请求(一个来自主数据中心,三个来自远程数据中心)。 对于要被视为权威的域,主请求和3个远程请求中的至少2个必须收到正确的质询响应值。

将来,我们将继续评估添加更多的网络见解,并可能更改所需的数量和阈值。

另外, 从不同的IP发送请求将提高验证的可靠性 如果个别“让我们加密”主机输入阻止列表(例如,在俄罗斯,某些IP letencrypt.org属于Roskomnadzor阻止)。

到1月XNUMX日为止,会有过渡期 当主机无法从其他子网访问时,这将允许从主数据中心成功验证后生成证书(例如,如果防火墙上的主机管理员仅允许来自主数据中心的请求,则可能会发生这种情况或由于违反DNS中的区域同步)。

根据记录,将为无法通过3个其他数据中心进行验证的域准备白名单。 仅包含列入白名单的联系方式的域。 如果该域不在白名单中,则还可以通过特殊形式提交设施要求。

如今,Let's Encrypt已颁发了113亿个证书,涵盖大约190亿个域(一年前覆盖了150亿个域,两年前覆盖了61万个域)。

根据Firefox遥测服务的统计,通过HTTPS进行的页面请求的全球百分比为81%(一年前为77%,两年前为69%)和美国的91%。

另外, 可以看出苹果公司打算不再信任保质期超过398天的证书 (13个月)在Safari浏览器中。

现在,您计划仅对1年2020月1日之后颁发的证书引入限制。对于在825月2.2日之前收到的具有较长有效期的证书,将保留信任,但是将限制为XNUMX天(XNUMX年) 。

该更改可能会对证书颁发机构的业务产生负面影响,证书颁发机构出售廉价证书并具有长达5年的有效期。

根据苹果公司的说法,生成此类证书会带来额外的安全风险会干扰新密码标准的运营实施,并允许攻击者长时间监控受害者的流量,或者在黑客入侵导致证书谨慎泄露的情况下,将其用于欺骗。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。