IETF адобрылі Automatic Certificate Management Environment (ACME), які дапаможа аўтаматызаваць атрыманне SSL-сертыфікатаў. Раскажам, як гэта працуе.
/Flickr/ /
Навошта спатрэбіўся стандарт
У сярэднім на настройку для дамена адміністратар можа затраціць ад аднаго да трох гадзін. Калі дапусціць памылку, то давядзецца чакаць, пакуль заяўка будзе адхіленая, толькі пасля гэтага яе можна падаць зноў. Усё гэта абцяжарвае разгортванне маштабных сістэм.
Працэдура валідацыі дамена ў кожнага сертыфікацыйнага цэнтра можа адрознівацца. Адсутнасць стандартызацыі часам прыводзіць да праблем з бяспекай. Вядомы , Калі з-за бага ў сістэме адзін CA верыфікаваў усе заяўленыя дамены. У такіх сітуацыях SSL-сертыфікаты могуць выдавацца ашуканскім рэсурсам.
Адобраны IETF пратакол ACME (спецыфікацыя ) павінен аўтаматызаваць і стандартаваць працэс атрымання сертыфіката. А выключэнне чалавечага фактару дапаможа павысіць надзейнасць і бяспеку верыфікацыі даменнага імя.
Стандарт з'яўляецца адкрытым, і ўнесці ўклад у яго распрацоўку могуць усе ахвочыя. У апублікаваны адпаведныя інструкцыі.
Як гэта працуе
Абмен запытамі ў ACME адбываецца па HTTPS з дапамогай JSON-паведамленняў. Для працы з пратаколам неабходна ўсталяваць на мэтавы вузел ACME-кліент, ён генеруе ўнікальную пару ключоў пры першым звароце да CA. Пасля яны будуць выкарыстоўвацца для пастаноўкі подпісу на ўсіх паведамленнях кліента і сервера.
Першае паведамленне змяшчае кантактную інфармацыю аб уладальніку дамена. Яно падпісваецца зачыненым ключом і разам з адчыненым ключом адпраўляецца серверу. Ён правярае сапраўднасць подпісу і, калі ўсё ў парадку, пачынае працэдуру выдачы SSL-сертыфіката.
Каб атрымаць сертыфікат кліент павінен даказаць серверу факт валодання даменам. Для гэтага ён здзяйсняе пэўныя дзеянні, даступныя толькі ўласніку. Напрыклад, цэнтр сертыфікацыі можа згенераваць унікальны токен і папрасіць кліента размясціць яго на сайце. Далей, CA фармуе вэб- або DNS-запыт для вымання ключа з гэтага токена.
Напрыклад, у выпадку з HTTP ключ з токена неабходна змясціць у файл, які будзе абслугоўвацца вэб-серверам. Пры DNS-верыфікацыі сертыфікацыйны цэнтр будзе шукаць унікальны ключ у тэкставым дакуменце DNS-запісы. Калі ўсё ў парадку, сервер пацвярджае, што кліент мінуў валідацыю і CA выпускае сертыфікат.
/Flickr/ /
меркаванні
Па IETF, ACME будзе карысны адміністратарам, якім даводзіцца працаваць з некалькімі даменнымі імёнамі. Стандарт дапаможа звязаць кожны з іх з патрэбнымі SSL.
Сярод добрых якасцяў стандарту эксперты таксама адзначаюць некалькі . Яны павінны гарантаваць, што SSL-сертыфікаты выдаюцца толькі сапраўдным уладальнікам даменаў. У прыватнасці, для абароны ад DNS-атак ужываецца набор пашырэнняў. , а для абароны ад DoS стандарт абмяжоўвае хуткасць выканання асобных запытаў - напрыклад, HTTP для метаду . Самі распрацоўшчыкі ACME для павышэння бяспекі дадаваць энтрапію да DNS-запытаў і выконваць іх з некалькіх кропак сеткі.
Падобныя рашэнні
Для атрымання сертыфікатаў таксама прымяняюць пратаколы. и .
Першы быў распрацаваны ў Cisco Systems. Яго мэтай было спрасціць працэдуру выдачы лічбавых сертыфікатаў X.509 і зрабіць яе максімальна якая маштабуецца. Да з'яўлення SCEP гэты працэс патрабаваў актыўнага ўдзелу сісадмінаў і дрэнна маштабаваўся. Сёння гэты пратакол з'яўляецца адным з найболей распаўсюджаных.
Што да EST, то ён дазваляе PKI-кліентам атрымліваць сертыфікаты па бяспечных каналах. Ён ужывае TLS для перадачы паведамленняў і выпуску SSL, а таксама для прывязкі CSR да адпраўніка. Акрамя таго, EST падтрымлівае метады эліптычнай крыптаграфіі, што стварае дадатковы ўзровень абароны.
Па , рашэнні накшталт ACME павінны будуць атрымаць шырэйшае распаўсюджванне. Яны прапануюць спрошчаную і бяспечную мадэль наладкі SSL, а таксама паскараюць працэс.
Дадатковыя пасады з нашага карпаратыўнага блога:
Крыніца: habr.com