توافق IETF على ACME ، معيار العمل مع شهادات SSL

تمت الموافقة على IETF معيار بيئة إدارة الشهادات التلقائية (ACME) ، والتي ستساعد في أتمتة استلام شهادات SSL. دعنا نخبرك كيف يعمل.

/ فليكر / كليف جونسون / CC BY-SA

لماذا كان المعيار مطلوبًا؟

متوسط ​​لكل مكان شهادة SSL بالنسبة للنطاق ، يمكن للمسؤول قضاء من ساعة إلى ثلاث ساعات. إذا قمت بخطأ ما ، فسيتعين عليك الانتظار حتى يتم رفض الطلب ، وبعد ذلك فقط يمكن تقديمه مرة أخرى. كل هذا يجعل من الصعب نشر أنظمة واسعة النطاق.

قد يختلف إجراء التحقق من صحة المجال لكل مرجع مصدق. يؤدي الافتقار إلى التوحيد القياسي أحيانًا إلى مشاكل أمنية. مشهور يحدثعندما ، نظرًا لوجود خطأ في النظام ، تحقق CA واحدًا من جميع المجالات المعلنة. في مثل هذه الحالات ، يمكن إصدار شهادات SSL إلى الموارد الاحتيالية.

بروتوكول ACME المعتمد من IETF (المواصفات RFC8555) يجب أتمتة وتوحيد عملية الحصول على الشهادة. وسيساعد القضاء على العامل البشري في زيادة موثوقية وأمان التحقق من اسم النطاق.

المعيار مفتوح ويمكن لأي شخص المساهمة في تطويره. في مستودعات على جيثب تم نشر التعليمات.

كيف يعمل هذا؟

يتم تبادل الطلبات في ACME عبر HTTPS باستخدام رسائل JSON. للعمل مع البروتوكول ، تحتاج إلى تثبيت عميل ACME على العقدة الهدف ؛ يقوم بإنشاء زوج مفاتيح فريد في المرة الأولى التي يصل فيها إلى CA. بعد ذلك ، سيتم استخدامها لتوقيع جميع رسائل العميل والخادم.

تحتوي الرسالة الأولى على معلومات الاتصال الخاصة بمالك المجال. يتم توقيعه بالمفتاح الخاص وإرساله إلى الخادم مع المفتاح العام. يتحقق من صحة التوقيع ، وإذا كان كل شيء على ما يرام ، يبدأ إجراء إصدار شهادة SSL.

للحصول على شهادة ، يجب على العميل أن يثبت للخادم أنه يمتلك المجال. للقيام بذلك ، يقوم ببعض الإجراءات التي لا تتوفر إلا للمالك. على سبيل المثال ، يمكن للمرجع المصدق إنشاء رمز مميز فريد ويطلب من العميل وضعه على الموقع. بعد ذلك ، يصدر المرجع المصدق (CA) استعلامًا على الويب أو DNS لاستخراج المفتاح من هذا الرمز المميز.

على سبيل المثال ، في حالة HTTP ، يجب وضع المفتاح من الرمز المميز في ملف سيتم تقديمه بواسطة خادم الويب. أثناء التحقق من DNS ، ستبحث سلطة التصديق عن مفتاح فريد في المستند النصي لسجل DNS. إذا كان كل شيء على ما يرام ، يؤكد الخادم أنه تم التحقق من صحة العميل ويصدر المرجع المصدق شهادة.

/ فليكر / Blondinrikard Froberg / CC BY

آراء

في وفقا ل ستكون IETF و ACME مفيدة للمسؤولين الذين يتعين عليهم العمل مع أسماء نطاقات متعددة. سيساعد المعيار في ربط كل منهم بـ SSL المطلوب.

من بين مزايا المعيار ، لاحظ الخبراء أيضًا العديد آليات الأمن. يجب عليهم التأكد من إصدار شهادات SSL للمسجلين الحقيقيين فقط. على وجه الخصوص ، يتم استخدام مجموعة من الملحقات للحماية من هجمات DNS. DNSSECوللحماية من DoS ، يحد المعيار من سرعة تنفيذ الطلبات الفردية - على سبيل المثال ، HTTP للطريقة سأعين. مطورو عربكو أنفسهم يوصي لزيادة الأمان ، قم بإضافة إنتروبيا إلى استعلامات DNS وتنفيذها من عدة نقاط في الشبكة.

حلول مماثلة

تستخدم البروتوكولات أيضًا للحصول على الشهادات. SCEP и EST.

تم تطوير أول واحد بواسطة Cisco Systems. كان هدفه هو تبسيط إجراءات إصدار شهادات X.509 الرقمية وجعلها قابلة للتطوير قدر الإمكان. قبل ظهور برنامج SCEP ، تطلبت هذه العملية مشاركة نشطة من مسؤولي النظام ولم تتم بشكل جيد. اليوم ، يعد هذا البروتوكول من أكثر البروتوكول شيوعًا.

أما بالنسبة لـ EST ، فهي تسمح لعملاء PKI بالحصول على شهادات عبر القنوات الآمنة. يستخدم TLS للمراسلة وإصدار SSL ، بالإضافة إلى ربط CSR بالمرسل. بالإضافة إلى ذلك ، تدعم EST طرق التشفير الإهليلجي ، مما يخلق طبقة إضافية من الحماية.

في رأي الخبراء، يجب اعتماد حلول مثل ACME على نطاق أوسع. أنها توفر نموذج إعداد SSL مبسط وآمن وكذلك تسريع العملية.

منشورات إضافية من مدونة شركتنا:

• خيارات البنية التحتية لتكنولوجيا المعلومات للمؤسسة
• ملف النسخ الاحتياطي: كيفية التأمين ضد فقدان البيانات
• منصة تدريب للمسؤولين: كيف يمكن أن تساعد السحابة
• تطور العمارة السحابية 1cloud

المصدر: www.habr.com