今天獲取 SSL 證書 為您的網站 非常簡單此外,與大約 4-5 年前搜索巨頭“Google”開始為“https”網站提供更好的定位相比,這些成本已大幅下降。
當時以實惠的價格獲得 SSL 證書確實很難,但現在 甚至可以在 Let's Encrypt 的幫助下免費獲得它。
Let's Encrypt 是一家非營利性認證中心 為所有人免費提供證書。 現在它宣布推出新的授權方案 域的證書。
訪問託管目錄“/.well-known/acme-challenge/”的服務器 現在將使用從位於不同數據中心並由不同自治系統擁有的 4 個不同 IP 地址發送的多個 HTTP 請求來執行掃描。 僅當來自不同 IP 的 3 個請求中至少有 4 個成功時,驗證才被視為成功。
從多個子網掃描 將最大限度地降低獲得外國域名證書的風險 通過執行有針對性的攻擊,通過使用 BGP 的虛擬路由替換來重定向流量。
當使用多位置驗證系統時,攻擊者需要同時實現具有不同上行鏈路的多個自治提供商系統的路由重定向,這比重定向單個路由要復雜得多。
19 月 1 日之後,我們將提出 3 個完整驗證請求(2 個來自主數據中心,3 個來自遠程數據中心)。 主請求和 XNUMX 個遠程請求中的至少 XNUMX 個必須收到正確的質詢響應值,該域才能被視為具有權威性。
未來我們將繼續評估添加更多網絡視角,並可能更改所需的數量和閾值。
另外, 從不同的IP發送請求將增加驗證的可靠性 以防個別 Let's Encrypt 主機進入阻止列表(例如,在俄羅斯,一些 Let's Encrypt.org IP 屬於 Roskomnadzor 阻止的範圍)。
1月XNUMX日之前會有一個過渡期 當其他子網無法使用主機時,這將允許在成功驗證主數據中心後生成證書(例如,如果防火牆上的主機管理員僅允許來自主數據中心 Let's Encrypt 的請求或由於區域同步,則可能會發生這種情況DNS 違規)。
根據記錄,將為無法從另外 3 個數據中心驗證的域準備白名單。 僅包含已列入白名單的完整聯繫方式的域。 如果域名未列入白名單,也可以通過特殊表格提交設施請求。
目前,Let's Encrypt 已頒發 113 億張證書,覆蓋約 190 億個域名(一年前覆蓋 150 億個域名,兩年前覆蓋 61 萬個域名)。
根據火狐遙測服務的統計,全球通過 HTTPS 進行頁面請求的比例為 81%(一年前為 77%,兩年前為 69%),美國為 91%。
另外, Apple 打算停止信任生命週期超過 398 天的證書 (13 個月)在 Safari 瀏覽器中。
那麼現在它計劃只對1年2020月1日起頒發的證書引入限制。對於825月2.2日之前收到的有效期較長的證書,信任將得到維持,但會限制在XNUMX天(XNUMX年)。 。
這一變化可能會對銷售有效期長達 5 年的廉價證書的證書頒發機構的業務產生負面影響。
據蘋果公司稱,此類證書的生成會帶來額外的安全風險。,干擾新加密標準的操作實施,並允許攻擊者長時間監視受害者流量,或在因黑客攻擊而導致謹慎的證書洩漏時將其用於欺騙。