Let’s Encrypt anuncio un nuevo esquema de autorización de certificados
Hoy en día obtener un certificado SSL para tu sito web es sumamente sencillo, además de que los costos de estos han disminuido considerablemente en comparación a hace unos 4-5 años cuando el gigante de las búsquedas “Google” comenzó a dar un mejor posicionamiento a sitios web “https”.
En ese tiempo conseguir un certificado SSL a un precio accesible era realmente difícil, pero hoy en día incluso se puede obtener de manera gratuita con ayuda de Let’s Encrypt.
Let’s Encrypt es un centro de certificación sin fines de lucro que proporciona certificados de forma gratuita para todos. Y ahora ha anunciado la introducción de un nuevo esquema de autorización de certificados para los dominios.
El acceso al servidor que aloja el directorio “/.well-known/acme-challenge/” utilizado en la exploración ahora se realizará utilizando varias solicitudes HTTP enviadas desde 4 direcciones IP diferentes ubicadas en diferentes centros de datos y propiedad de a diferentes sistemas autónomos. Una verificación se considera exitosa solo si al menos 3 de cada 4 solicitudes de diferentes IP tienen éxito.
El escaneo desde múltiples subredes minimizará los riesgos de obtener certificados para dominios extranjeros al realizar ataques dirigidos que redirigen el tráfico a través de la sustitución de rutas ficticias utilizando BGP.
Cuando se utiliza un sistema de verificación de múltiples posiciones, un atacante deberá lograr simultáneamente la redirección de ruta para varios sistemas de proveedores autónomos con diferentes enlaces ascendentes, lo cual es mucho más complicado que redirigir una sola ruta.
Después del 19 de febrero, haremos cuatro solicitudes de validación total (1 de un centro de datos primario y 3 de centros de datos remotos). La solicitud principal y al menos 2 de las 3 solicitudes remotas deben recibir el valor de respuesta de desafío correcto para que el dominio se considere autorizado.
En el futuro continuaremos evaluando agregar más perspectivas de red y podemos cambiar el número y el umbral requerido.
Además, el envío de solicitudes desde diferentes IP aumentará la confiabilidad de la verificación en caso de que los hosts Let’s Encrypt individuales entren en las listas de bloqueo (por ejemplo, en Rusia, algunos IP letsencrypt.org cayeron bajo el bloqueo de Roskomnadzor).
Hasta el 1 de junio, habrá un período de transición que permitirá que se generen certificados tras una verificación exitosa desde el centro de datos primario cuando el host no esté disponible desde otras subredes (por ejemplo, esto puede suceder si el administrador del host en el firewall permitió solicitudes solo del centro de datos principal Let’s Encrypt o debido a la violación de la sincronización de zona en DNS).
Según los registros, se preparará una lista blanca para los dominios que tienen problemas para verificar desde 3 centros de datos adicionales. Solo dominios con detalles de contacto completados en la lista blanca. Si el dominio no está en la lista blanca, la solicitud de las instalaciones también se puede enviar a través de un formulario especial.
Actualmente, Let’s Encrypt ha emitido 113 millones de certificados que cubren alrededor de 190 millones de dominios (150 millones de dominios estaban cubiertos hace un año y 61 millones estaban cubiertos hace dos años).
Según las estadísticas del servicio de telemetría de Firefox, el porcentaje global de solicitudes de página a través de HTTPS es del 81% (77% hace un año, 69% hace dos años) y 91% en los Estados Unidos.
Además, se puede observar la intención de Apple de dejar de confiar en los certificados con una vida útil de más de 398 días (13 meses) en el navegador Safari.
Pues ahora planea introducir la restricción solo para los certificados emitidos desde el 1 de septiembre de 2020. Para los certificados con un largo período de validez recibido antes del 1 de septiembre, se mantendrá la confianza, pero se limitará a 825 días (2.2 años).
El cambio podría afectar negativamente el negocio de las autoridades de certificación que venden certificados baratos con un largo período de validez de hasta 5 años.
Según Apple, la generación de dichos certificados plantea riesgos de seguridad adicionales, interfiere con la implementación operativa de nuevos estándares criptográficos y permite a los atacantes controlar el tráfico de la víctima durante mucho tiempo o usarlo para suplantación de identidad en caso de una fuga discreta del certificado como resultado de la piratería.