IETF ከኤስኤስኤል ሰርተፊኬቶች ጋር የሚሰራውን ACME አጽድቋል

IETF ጸድቋል ደረጃ። የSSL ሰርተፊኬቶችን መቀበልን በራስ-ሰር ለማድረግ የሚረዳው ራስ-ሰር ሰርተፍኬት አስተዳደር አካባቢ (ACME)። እንዴት እንደሚሰራ እንንገራችሁ።

/ፍሊከር/ ክሊፍ ጆንሰን / CC BY-SA

መለኪያው ለምን አስፈለገ?

አማካይ በአንድ ቅንብር SSL ሰርተፍኬት ለጎራ አስተዳዳሪ ከአንድ እስከ ሶስት ሰአት ሊያጠፋ ይችላል። ስህተት ከሰሩ, ማመልከቻው ውድቅ እስኪደረግ ድረስ መጠበቅ አለብዎት, ከዚያ በኋላ ብቻ እንደገና ሊቀርብ ይችላል. ይህ ሁሉ መጠነ ሰፊ ስርዓቶችን መዘርጋት አስቸጋሪ ያደርገዋል.

ለእያንዳንዱ የምስክር ወረቀት ባለስልጣን የጎራ ማረጋገጫው ሂደት ሊለያይ ይችላል። ደረጃውን የጠበቀ አለመሆን አንዳንድ ጊዜ የደህንነት ችግሮችን ያስከትላል. ታዋቂ በመከሰት ላይበስርዓቱ ውስጥ ባለ ስህተት ምክንያት አንድ CA ሁሉንም የታወጁ ጎራዎችን ሲያረጋግጥ። በእንደዚህ ዓይነት ሁኔታዎች የኤስኤስኤል የምስክር ወረቀቶች ለተጭበረበሩ ሀብቶች ሊሰጡ ይችላሉ.

በIETF የጸደቀ ACME ፕሮቶኮል (መግለጫ RFC8555) ሰርተፍኬት የማግኘት ሂደትን በራስ ሰር ማስተካከል እና ደረጃውን የጠበቀ መሆን አለበት። እና የሰውን መንስኤ ማስወገድ የጎራ ስም ማረጋገጫ አስተማማኝነት እና ደህንነትን ለመጨመር ይረዳል።

መስፈርቱ ክፍት ነው እና ማንኛውም ሰው ለእድገቱ አስተዋፅኦ ማድረግ ይችላል. ውስጥ በ GitHub ላይ ማከማቻዎች መመሪያዎች ታትመዋል.

ይህን ሥራ የሚያደርገው እንዴት ነው?

በACME ውስጥ ያሉ ጥያቄዎች የJSON መልዕክቶችን በመጠቀም በ HTTPS ይለዋወጣሉ። ከፕሮቶኮሉ ጋር ለመስራት የኤሲኤምኢ ደንበኛን በዒላማው መስቀለኛ መንገድ ላይ መጫን አለቦት፡ ሲኤውን ለመጀመሪያ ጊዜ ሲደርስ ልዩ የቁልፍ ጥንድ ያመነጫል። በመቀጠል ሁሉንም የደንበኛ እና የአገልጋይ መልዕክቶችን ለመፈረም ይጠቅማሉ።

የመጀመሪያው መልእክት ስለ ጎራ ባለቤት አድራሻ መረጃ ይዟል። በግል ቁልፉ የተፈረመ እና ከህዝብ ቁልፉ ጋር ወደ አገልጋዩ ይላካል። የፊርማውን ትክክለኛነት ያረጋግጣል እና ሁሉም ነገር በሥርዓት ከሆነ የኤስኤስኤል የምስክር ወረቀት የማውጣት ሂደቱን ይጀምራል።

ሰርተፍኬት ለማግኘት ደንበኛው የጎራው ባለቤት መሆኑን ለአገልጋዩ ማረጋገጥ አለበት። ይህንን ለማድረግ ለባለቤቱ ብቻ የሚገኙ የተወሰኑ ድርጊቶችን ይፈጽማል. ለምሳሌ, የምስክር ወረቀት ባለስልጣን ልዩ ምልክት ማመንጨት እና ደንበኛው በጣቢያው ላይ እንዲያስቀምጠው መጠየቅ ይችላል. በመቀጠል፣ CA ቁልፉን ከዚህ ማስመሰያ ለማውጣት የድር ወይም የዲ ኤን ኤስ ጥያቄን ያወጣል።

ለምሳሌ፣ በኤችቲቲፒ ጉዳይ፣ ከቶከኑ ውስጥ ያለው ቁልፍ በድር አገልጋይ በሚቀርብ ፋይል ውስጥ መቀመጥ አለበት። በዲ ኤን ኤስ ማረጋገጫ ጊዜ የምስክር ወረቀት ባለስልጣን በዲ ኤን ኤስ መዝገብ ውስጥ ባለው የጽሑፍ ሰነድ ውስጥ ልዩ ቁልፍ ይፈልጋል። ሁሉም ነገር በሥርዓት ከሆነ፣ አገልጋዩ ደንበኛው መረጋገጡን ያረጋግጣል እና CA የምስክር ወረቀት ይሰጣል።

/ፍሊከር/ Blondinrikard Froberg / CC BY

ልጥፎች

በ መሠረት IETF፣ ACME ከበርካታ የጎራ ስሞች ጋር መስራት ለሚገባቸው አስተዳዳሪዎች ጠቃሚ ይሆናል። መስፈርቱ እያንዳንዳቸውን ከሚፈለገው SSL ጋር ለማያያዝ ይረዳል።

ከመመዘኛዎቹ ጥቅሞች መካከል ባለሙያዎች ብዙዎችን ያስተውላሉ የደህንነት ዘዴዎች. የኤስኤስኤል የምስክር ወረቀቶች ለእውነተኛ ተመዝጋቢዎች ብቻ መሰጠታቸውን ማረጋገጥ አለባቸው። በተለይም የዲ ኤን ኤስ ጥቃቶችን ለመከላከል የቅጥያዎች ስብስብ ጥቅም ላይ ይውላል. DNSSECእና ከ DoS ለመከላከል መደበኛው የግለሰብ ጥያቄዎችን የአፈፃፀም ፍጥነት ይገድባል - ለምሳሌ HTTP ለ ዘዴ POST. የACME ገንቢዎች እራሳቸው ይመክራሉ ደህንነትን ለመጨመር ኢንትሮፒን ወደ ዲ ኤን ኤስ መጠይቆችን ይጨምሩ እና በአውታረ መረቡ ውስጥ ከበርካታ ነጥቦች ያስፈጽሙ።

ተመሳሳይ መፍትሄዎች

የምስክር ወረቀቶችን ለማግኘት ፕሮቶኮሎችም ጥቅም ላይ ይውላሉ። ኤስ.ሲ.አይ.ፒ. и EST.

የመጀመሪያው የተሰራው በሲስኮ ሲስተምስ ነው። ግቡ የ X.509 ዲጂታል ሰርተፊኬቶችን የማውጣት ሂደቱን ቀላል ማድረግ እና በተቻለ መጠን ሊሰፋ የሚችል እንዲሆን ማድረግ ነበር። SCEP ከመምጣቱ በፊት ይህ ሂደት የስርዓት አስተዳዳሪዎችን ንቁ ​​ተሳትፎ የሚጠይቅ እና በጥሩ ሁኔታ አልመጣም. ዛሬ, ይህ ፕሮቶኮል በጣም ከተለመዱት ውስጥ አንዱ ነው.

ስለ EST፣ የPKI ደንበኞች በአስተማማኝ ቻናሎች የምስክር ወረቀቶችን እንዲያገኙ ያስችላቸዋል። ኤስኤስኤልን ለመላክ እና ለማውጣት TLSን ይጠቀማል እንዲሁም CSRን ከላኪው ጋር በማያያዝ ነው። በተጨማሪም, EST ተጨማሪ የጥበቃ ሽፋንን የሚፈጥር የኤሊፕቲክ ክሪፕቶግራፊ ዘዴዎችን ይደግፋል.

በ የባለሙያ አስተያየትእንደ ACME ያሉ መፍትሄዎች በሰፊው ተቀባይነት ሊኖራቸው ይገባል. ቀለል ያለ እና ደህንነቱ የተጠበቀ የኤስኤስኤል ማዋቀር ሞዴል ያቀርባሉ እንዲሁም ሂደቱን ያፋጥኑታል።

ከድርጅታችን ብሎግ ተጨማሪ ልጥፎች፡-

• ድርጅት የአይቲ መሠረተ ልማት አማራጮች
• የፋይል ምትኬ፡ ከውሂብ መጥፋት እንዴት እንደሚድን
• የሥልጠና አቋም ለአስተዳዳሪዎች፡ ደመናው እንዴት እንደሚረዳ
• የደመና ሥነ ሕንፃ ዝግመተ ለውጥ 1 ደመና

ምንጭ: hab.com