在“让我们加密”中,我们一直在寻找提高Web PKI的安全性和完整性的方法。今天,我们很自豪地推出多视角域验证,因为我们相信这是域验证过程向前迈出的重要一步。据我们所知,我们是第一个大规模部署多视角验证的CA。
来此加密:通过网页申请Let’s Encrypt证书,支持泛域名。
域验证是所有CA用于确保证书申请者实际控制其想要证书的域的过程。通常,域验证过程涉及要求申请者将特定文件或令牌放置在域的受控位置,例如特定路径或DNS条目。然后CA将检查申请人是否能够这样做。历史上它看起来像这样:
此过程的一个潜在问题是,如果网络攻击者可以劫持或重定向验证路径(用于质询请求或相关的DNS查询)上的网络通信,则攻击者可以诱使CA错误地颁发证书。这正是普林斯顿的一个研究小组所证明的对BGP的攻击可以做到的。这种攻击在今天是罕见的,但我们担心,这些攻击今后会变得越来越多。
边界网关协议(BGP)及其大多数部署都不安全。虽然目前正在努力保护BGP的安全,如RPKI和BGPsec,但BGP劫持事件可能还需要很长时间才能成为过去。我们不想等到我们可以依赖于BGP的安全,所以我们和普林斯顿的研究团队一起设计了一种方法,使这种攻击更加困难。现在,我们不再从一个网络角度进行验证,而是从多个角度以及我们自己的数据中心进行验证:
今天,我们将从单个云提供商中的多个区域进行验证。我们计划在未来向其他云提供商提供多样化的网络视角。
这使得前面描述的攻击更加困难,因为攻击者必须同时成功地破坏三个不同的网络路径(来自数据中心的主路径,以及三个远程路径中的至少两个)。这也增加了这种攻击被互联网拓扑社区检测到的可能性。
我们要感谢普林斯顿大学Pratek Mittal教授和Jennifer Rexford教授的研究小组在开展这项工作方面的合作。我们将继续与他们合作,完善我们多视角验证设计和实现的有效性。我们还要感谢开放技术基金对这项工作的支持。
我们依靠用户和支持者社区的贡献来提供我们的服务。如果您的公司或组织想要赞助,让我们加密,请发电子邮件给我们,地址是:sensor@Let s Encrypt.org。我们要求您在力所能及的范围内做出个人贡献。
来此加密:通过网页申请Let’s Encrypt证书,支持泛域名。