IETF odobrio Automatsko okruženje za upravljanje certifikatima (ACME), koje će pomoći u automatizaciji prijema SSL certifikata. Recimo vam kako to funkcionira.
/Flickr/ /
Zašto je standard bio potreban?
Prosjek po postavci za domenu administrator može potrošiti od jednog do tri sata. Ako pogriješite, morat ćete pričekati dok se zahtjev ne odbije, tek tada se može ponovo podnijeti. Sve ovo otežava implementaciju sistema velikih razmjera.
Procedura validacije domene za svako sertifikaciono tijelo može se razlikovati. Nedostatak standardizacije ponekad dovodi do sigurnosnih problema. Famous kada je, zbog greške u sistemu, jedan CA verifikovao sve deklarisane domene. U takvim situacijama, SSL certifikati se mogu izdati lažnim resursima.
IETF odobrio ACME protokol (specifikacija ) treba da automatizuje i standardizuje proces dobijanja sertifikata. A eliminacija ljudskog faktora pomoći će povećanju pouzdanosti i sigurnosti provjere imena domena.
Standard je otvoren i svako može doprinijeti njegovom razvoju. IN Relevantna uputstva su objavljena.
Kako ovo radi
Zahtjevi se razmjenjuju u ACME preko HTTPS-a koristeći JSON poruke. Da biste radili s protokolom, morate instalirati ACME klijenta na ciljni čvor; on generiše jedinstveni par ključeva kada prvi put pristupite CA. Nakon toga, oni će se koristiti za potpisivanje svih poruka sa klijenta i servera.
Prva poruka sadrži kontakt informacije o vlasniku domene. Potpisuje se privatnim ključem i šalje na server zajedno sa javnim ključem. Provjerava autentičnost potpisa i, ako je sve u redu, započinje proceduru za izdavanje SSL certifikata.
Da bi dobio certifikat, klijent mora dokazati serveru da posjeduje domenu. Da bi to učinio, on izvodi određene radnje dostupne samo vlasniku. Na primjer, certifikacijski organ može generirati jedinstveni token i zatražiti od klijenta da ga postavi na stranicu. Zatim, CA izdaje web ili DNS upit za preuzimanje ključa iz ovog tokena.
Na primjer, u slučaju HTTP-a, ključ iz tokena mora biti smješten u datoteku koju će servirati web server. Tokom DNS verifikacije, certifikacijsko tijelo će tražiti jedinstveni ključ u tekstualnom dokumentu DNS zapisa. Ako je sve u redu, server potvrđuje da je klijent potvrđen i CA izdaje certifikat.
/Flickr/ /
Mišljenja
By IETF, ACME će biti korisni za administratore koji moraju da rade sa više imena domena. Standard će pomoći da se svaki od njih poveže sa potrebnim SSL-ovima.
Među prednostima standarda, stručnjaci također navode nekoliko . Moraju osigurati da se SSL certifikati izdaju samo pravim vlasnicima domena. Konkretno, skup ekstenzija se koristi za zaštitu od DNS napada , a radi zaštite od DoS-a, standard ograničava brzinu izvršavanja pojedinačnih zahtjeva - na primjer, HTTP za metodu . ACME programeri sami Da biste poboljšali sigurnost, dodajte entropiju DNS upitima i izvršite ih sa više tačaka na mreži.
Slična rješenja
Protokoli se takođe koriste za dobijanje sertifikata и .
Prvi je razvijen u Cisco Systems. Njegov cilj je bio pojednostaviti proceduru izdavanja X.509 digitalnih sertifikata i učiniti ga što skalabilnijim. Prije SCEP-a, ovaj proces je zahtijevao aktivno učešće sistemskih administratora i nije se dobro proširio. Danas je ovaj protokol jedan od najčešćih.
Što se tiče EST-a, on omogućava PKI klijentima da dobiju certifikate preko sigurnih kanala. Koristi TLS za prijenos poruka i izdavanje SSL-a, kao i za vezanje CSR-a za pošiljaoca. Osim toga, EST podržava metode eliptičke kriptografije, što stvara dodatni sloj sigurnosti.
By , rješenja poput ACME-a će morati postati raširenija. Oni nude pojednostavljen i siguran model postavljanja SSL-a i također ubrzavaju proces.
Dodatne objave sa našeg korporativnog bloga:
izvor: www.habr.com