Lets Encrypt перешёл к проверке с использованием разных подсетей
Обращение к серверу, на котором размещён используемый в проверки каталог »/.well-known/acme-challenge/», теперь будет осуществляться с использованием нескольких HTTP-запросов, отправляемых с 4 разных IP-адресов, размещённых в разных датацентрах и принадлежащих к разным автономным системам. Некоммерческий удостоверяющий центр Let«s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о внедрении новой схемы подтверждение полномочий на получение сертификата для домена. Проверка признаётся успешной только, если как минимум 3 из 4 запросов с разных IP оказались успешными.
При использовании многопозиционной системы проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута. Проверка с нескольких подсетей позволит минимизировать риски получения сертификатов на чужие домены путём проведения целевых атак, перенаправляющих трафик через подстановку фиктивных маршрутов при помощи BGP. Отправка запросов с разных IP кроме того повысит надёжность проверки в случае попадания единичных хостов Let«s Encrypt в списки блокировки (например, в РФ некоторые IP letsencrypt.org попадали под блокировку Роскомнадзора).
На основе логов будет подготовлен белый список для доменов, у которых наблюдаются проблемы с проверкой с 3 дополнительных датацентров. До 1 июня будет действовать переходных период, допускающий генерацию сертификатов при успешном прохождении проверки из первичного датацентра, при недоступности хоста с остальных подсетей (например, такое может случиться, если администратор хоста на межсетевом экране разрешил запросы только с основного датацентра Let«s Encrypt или из-за нарушения синхронизации зон в DNS). В случае если домен не попал в белый список автоматически заявку на помещение также можно отправить через специальную форму. В белый список попадут только домены с учётной записью в ACME с заполненными контактными данными.
По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 81% (год назад 77%, два года назад 69%), а в США — 91%. В настоящее время проектом Let’s Encrypt выдано 113 млн сертификатов, охватывающих около 190 млн доменов (год назад было охвачено 150 млн доменов, а два года назад — 61 млн).
Ограничение планируется ввести только для cертификатов, выписанных начиная с 1 сентября 2020 года. Дополнительно можно отметить, намерение компании Apple прекратить в браузере Safari доверие к сертификатам, время жизни которых превышает 398 дней (13 месяцев). Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года).
По мнению Apple генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома. Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. num=52419 Источник: http://www.opennet.ru/opennews/art.shtml?
При использовании многопозиционной системы проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута. Проверка с нескольких подсетей позволит минимизировать риски получения сертификатов на чужие домены путём проведения целевых атак, перенаправляющих трафик через подстановку фиктивных маршрутов при помощи BGP. Отправка запросов с разных IP кроме того повысит надёжность проверки в случае попадания единичных хостов Let«s Encrypt в списки блокировки (например, в РФ некоторые IP letsencrypt.org попадали под блокировку Роскомнадзора).
Обращение к серверу, на котором размещён используемый в проверки каталог »/.well-known/acme-challenge/», теперь будет осуществляться с использованием нескольких HTTP-запросов, отправляемых с 4 разных IP-адресов, размещённых в разных датацентрах и принадлежащих к разным автономным системам. Некоммерческий удостоверяющий центр Let«s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о внедрении новой схемы подтверждение полномочий на получение сертификата для домена. Проверка признаётся успешной только, если как минимум 3 из 4 запросов с разных IP оказались успешными.
По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 81% (год назад 77%, два года назад 69%), а в США — 91%. В настоящее время проектом Let’s Encrypt выдано 113 млн сертификатов, охватывающих около 190 млн доменов (год назад было охвачено 150 млн доменов, а два года назад — 61 млн).
На основе логов будет подготовлен белый список для доменов, у которых наблюдаются проблемы с проверкой с 3 дополнительных датацентров. До 1 июня будет действовать переходных период, допускающий генерацию сертификатов при успешном прохождении проверки из первичного датацентра, при недоступности хоста с остальных подсетей (например, такое может случиться, если администратор хоста на межсетевом экране разрешил запросы только с основного датацентра Let«s Encrypt или из-за нарушения синхронизации зон в DNS). В случае если домен не попал в белый список автоматически заявку на помещение также можно отправить через специальную форму. В белый список попадут только домены с учётной записью в ACME с заполненными контактными данными.
По мнению Apple генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома. Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. num=52419 Источник: http://www.opennet.ru/opennews/art.shtml?
Ограничение планируется ввести только для cертификатов, выписанных начиная с 1 сентября 2020 года. Дополнительно можно отметить, намерение компании Apple прекратить в браузере Safari доверие к сертификатам, время жизни которых превышает 398 дней (13 месяцев). Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года).
Дата публикации: 23-02-2020
Ещё новости
27.08.2022 10 самых дорогих пород кошек в мире: пушистые драгоценности
Он может весить около 13,5 кг, открывать двери и стоить вам примерно 125 000 долларов. Ашера — помесь африканского сервала, азиатской леопардовой кошки и домашней кошки — была выведена калифорнийской компанией...
26.08.2022 Криптобиржа Binance заблокировала счёт с цифровыми активами на сумму $ 1 млн
Список проектов не ограничен экосистемой Tezos и достаточно большой, его можно посмотреть на официальном сайте. Baking Bad — команда блокчейн разработчиков и крипто энтузиастов, известная в криптосообществе...
27.08.2022 Марк Цукерберг не разделяет оптимизм Илона Маска по поводу чипирования людей
В интервью блогеру Джо Рогану бизнесмен Цукерберг идею: он сомневается, что каждый человек захочет иметь чип в своем мозгу. Глава Meta (в России признана экстремистской организацией) Марк Цукерберг заявил,...
27.08.2022 Как заснуть в поезде: полезные идеи от покупки билета до списка вещей
Тем не менее, остаётся довольно большой набор других приёмов. В поезде недоступны самые эффективные техники засыпания, такие, как АСМР или релаксационная музыка. Пробуя их в разных сочетаниях, можно подобрать...
27.08.2022 Hyundai обновила Solaris первого поколения. Да так, что он выглядит лучше второго
И вот корейская компания на днях представила обновленный HB20S, который сильно преобразился как снаружи, так и внутри. В Бразилии у Hyundai есть модель HB20S — аналог российского Solaris, причем...
Все новости