IETF goedgekeur Outomatiese sertifikaatbestuursomgewing (ACME), wat sal help om die ontvangs van SSL-sertifikate te outomatiseer. Kom ons vertel jou hoe dit werk.
/flickr/ /
Hoekom was die standaard nodig?
Gemiddeld per instelling vir 'n domein kan 'n administrateur van een tot drie uur spandeer. As jy 'n fout maak, sal jy moet wag totdat die aansoek afgekeur word, eers daarna kan dit weer ingedien word. Dit alles maak dit moeilik om grootskaalse stelsels te ontplooi.
Die domeinvalideringsprosedure kan vir elke sertifiseringsowerheid verskil. Gebrek aan standaardisering lei soms tot sekuriteitsprobleme. Beroemde wanneer, as gevolg van 'n fout in die stelsel, een CA alle verklaarde domeine geverifieer het. In sulke situasies kan SSL-sertifikate aan bedrieglike hulpbronne uitgereik word.
IETF-goedgekeurde ACME-protokol (spesifikasie ) moet die proses om 'n sertifikaat te bekom outomatiseer en standaardiseer. En die uitskakeling van die menslike faktor sal help om die betroubaarheid en sekuriteit van domeinnaamverifikasie te verhoog.
Die standaard is oop en enigiemand kan bydra tot die ontwikkeling daarvan. IN instruksies gepubliseer is.
Hoe werk dit
Versoeke in ACME word oor HTTPS uitgeruil met behulp van JSON-boodskappe. Om met die protokol te werk, moet jy 'n ACME-kliënt op die teikennodus installeer; dit genereer 'n unieke sleutelpaar die eerste keer dat dit toegang tot die CA verkry. Vervolgens sal hulle gebruik word om alle kliënt- en bedienerboodskappe te onderteken.
Die eerste boodskap bevat kontakinligting oor die eienaar van die domein. Dit word met die private sleutel onderteken en saam met die publieke sleutel na die bediener gestuur. Dit kontroleer die egtheid van die handtekening en, as alles in orde is, begin die prosedure vir die uitreiking van 'n SSL-sertifikaat.
Om 'n sertifikaat te verkry, moet die kliënt aan die bediener bewys dat hy die domein besit. Om dit te doen, voer hy sekere aksies uit wat slegs vir die eienaar beskikbaar is. Byvoorbeeld, 'n sertifikaatowerheid kan 'n unieke teken genereer en die kliënt vra om dit op die webwerf te plaas. Vervolgens reik die CA 'n web- of DNS-navraag uit om die sleutel uit hierdie teken te onttrek.
Byvoorbeeld, in die geval van HTTP, moet die sleutel van die token in 'n lêer geplaas word wat deur die webbediener bedien sal word. Tydens DNS-verifikasie sal die sertifiseringsowerheid 'n unieke sleutel in die teksdokument van die DNS-rekord soek. As alles in orde is, bevestig die bediener dat die kliënt bekragtig is en die CA reik 'n sertifikaat uit.
/flickr/ /
opinies
Op IETF, ACME sal nuttig wees vir administrateurs wat met veelvuldige domeinname moet werk. Die standaard sal help om elkeen van hulle met die gewenste SSL te assosieer.
Onder die voordele van die standaard merk kenners ook verskeie op . Hulle moet verseker dat SSL-sertifikate slegs aan die regte geregistreerde uitgereik word. In die besonder word 'n stel uitbreidings gebruik om teen DNS-aanvalle te beskerm. , en om teen DoS te beskerm, beperk die standaard die spoed van uitvoering van individuele versoeke - byvoorbeeld HTTP vir die metode . Die ACME-ontwikkelaars self om sekuriteit te verhoog, voeg entropie by DNS-navrae en voer dit vanaf verskeie punte in die netwerk uit.
Soortgelyke oplossings
Protokolle word ook gebruik om sertifikate te bekom. и .
Die eerste een is ontwikkel deur Cisco Systems. Die doel daarvan was om die prosedure vir die uitreiking van X.509 digitale sertifikate te vereenvoudig en dit so skaalbaar moontlik te maak. Voor die koms van SCEP het hierdie proses die aktiewe deelname van stelseladministrateurs vereis en het nie goed geskaal nie. Vandag is hierdie protokol een van die mees algemene.
Wat EST betref, laat dit PKI-kliënte toe om sertifikate oor veilige kanale te bekom. Dit gebruik TLS vir boodskappe en die uitreiking van SSL, sowel as om die CSR aan die sender te bind. Daarbenewens ondersteun EST elliptiese kriptografiemetodes, wat 'n bykomende laag beskerming skep.
Op , oplossings soos ACME sal meer algemeen aangeneem moet word. Hulle bied 'n vereenvoudigde en veilige SSL-opstellingsmodel en bespoedig ook die proses.
Bykomende plasings vanaf ons korporatiewe blog:
Bron: will.com