IETF təsdiq edilmişdir SSL sertifikatlarının alınmasını avtomatlaşdırmağa kömək edəcək Avtomatik Sertifikat İdarəetmə Mühiti (ACME). Bunun necə işlədiyini sizə xəbər verək.
/flickr/ /
Standart nə üçün lazım idi?
Ayar başına orta bir domen üçün bir idarəçi bir saatdan üç saata qədər vaxt sərf edə bilər. Səhv etsəniz, ərizənin rədd edilməsini gözləməli olacaqsınız, yalnız bundan sonra onu yenidən təqdim etmək olar. Bütün bunlar iri miqyaslı sistemlərin yerləşdirilməsini çətinləşdirir.
Domenin doğrulanması proseduru hər bir sertifikatlaşdırma orqanı üçün fərqli ola bilər. Standartlaşdırmanın olmaması bəzən təhlükəsizlik problemlərinə səbəb olur. məşhur sistemdəki səhvə görə bir CA bütün elan edilmiş domenləri təsdiqlədikdə. Belə vəziyyətlərdə SSL sertifikatları saxta mənbələrə verilə bilər.
IETF tərəfindən təsdiqlənmiş ACME protokolu (spesifikasiya ) sertifikatın alınması prosesini avtomatlaşdırmalı və standartlaşdırmalıdır. İnsan amilinin aradan qaldırılması isə domen adının yoxlanılmasının etibarlılığını və təhlükəsizliyini artırmağa kömək edəcək.
Standart açıqdır və hər kəs onun inkişafına töhfə verə bilər. IN təlimatlar dərc edilmişdir.
Bu necə işləyir
ACME-də sorğular JSON mesajlarından istifadə edərək HTTPS vasitəsilə mübadilə edilir. Protokolla işləmək üçün hədəf node üzərində ACME müştəri quraşdırmalısınız; o, CA-ya ilk dəfə daxil olanda unikal açar cütü yaradır. Sonradan onlar bütün müştəri və server mesajlarını imzalamaq üçün istifadə olunacaqlar.
Birinci mesajda domenin sahibi haqqında əlaqə məlumatı var. Şəxsi açarla imzalanır və açıq açarla birlikdə serverə göndərilir. İmzanın həqiqiliyini yoxlayır və hər şey qaydasındadırsa, SSL sertifikatının verilməsi proseduruna başlayır.
Sertifikat əldə etmək üçün müştəri serverə domenin sahibi olduğunu sübut etməlidir. Bunun üçün o, yalnız sahibinə aid olan müəyyən hərəkətləri yerinə yetirir. Məsələn, sertifikat orqanı unikal token yarada və müştəridən onu saytda yerləşdirməyi xahiş edə bilər. Sonra, CA bu işarədən açarı çıxarmaq üçün veb və ya DNS sorğusu verir.
Məsələn, HTTP vəziyyətində, tokenin açarı veb server tərəfindən xidmət ediləcək faylda yerləşdirilməlidir. DNS yoxlanışı zamanı sertifikatlaşdırma orqanı DNS qeydinin mətn sənədində unikal açar axtaracaq. Hər şey qaydasındadırsa, server müştərinin təsdiq edildiyini təsdiqləyir və CA sertifikat verir.
/flickr/ /
Mesajlar
Haqqında IETF, ACME birdən çox domen adı ilə işləməli olan idarəçilər üçün faydalı olacaq. Standart onların hər birini istədiyiniz SSL ilə əlaqələndirməyə kömək edəcək.
Standartın üstünlükləri arasında mütəxəssislər bir neçəsini də qeyd edirlər . Onlar SSL sertifikatlarının yalnız real qeydiyyatdan keçənlərə verilməsini təmin etməlidirlər. Xüsusilə, DNS hücumlarından qorunmaq üçün bir sıra genişləndirmələr istifadə olunur. , və DoS-dən qorunmaq üçün standart fərdi sorğuların icra sürətini məhdudlaşdırır - məsələn, metod üçün HTTP . ACME tərtibatçılarının özləri təhlükəsizliyi artırmaq üçün DNS sorğularına entropiya əlavə edin və onları şəbəkənin bir neçə nöqtəsindən icra edin.
Oxşar Həllər
Sertifikatların alınması üçün də protokollardan istifadə olunur. и .
Birincisi Cisco Systems tərəfindən hazırlanmışdır. Onun məqsədi X.509 rəqəmsal sertifikatlarının verilməsi prosedurunu sadələşdirmək və onu mümkün qədər miqyaslı etmək idi. SCEP-in yaranmasından əvvəl bu proses sistem administratorlarının fəal iştirakını tələb edirdi və yaxşı miqyasda deyildi. Bu gün bu protokol ən çox yayılmışlardan biridir.
EST-ə gəldikdə, bu, PKI müştərilərinə təhlükəsiz kanallar üzərindən sertifikatlar əldə etməyə imkan verir. O, mesajlaşma və SSL-nin verilməsi üçün TLS-dən istifadə edir, həmçinin CSR-ni göndərənə bağlayır. Bundan əlavə, EST əlavə qorunma təbəqəsi yaradan elliptik kriptoqrafiya üsullarını dəstəkləyir.
Haqqında , ACME kimi həllər daha geniş şəkildə qəbul edilməlidir. Onlar sadələşdirilmiş və təhlükəsiz SSL quraşdırma modeli təklif edir və həmçinin prosesi sürətləndirir.
Korporativ bloqumuzdan əlavə yazılar:
Mənbə: www.habr.com