Aprovat per IETF Entorn de gestió automàtica de certificats (ACME), que ajudarà a automatitzar la recepció de certificats SSL. T'expliquem com funciona.
/flickr/ /
Per què es necessitava l'estàndard?
Mitjana per configuració per a un domini, l'administrador pot passar d'una a tres hores. Si cometeu un error, haureu d'esperar fins que la sol·licitud sigui rebutjada, només llavors es podrà tornar a presentar. Tot això dificulta el desplegament de sistemes a gran escala.
El procediment de validació del domini per a cada autoritat de certificació pot ser diferent. La manca d'estandardització de vegades comporta problemes de seguretat. Famoses quan, a causa d'un error al sistema, una CA va verificar tots els dominis declarats. En aquestes situacions, es poden emetre certificats SSL a recursos fraudulents.
Protocol ACME aprovat per IETF (especificació ) hauria d'automatitzar i normalitzar el procés d'obtenció d'un certificat. I eliminar el factor humà ajudarà a augmentar la fiabilitat i la seguretat de la verificació de noms de domini.
L'estàndard és obert i qualsevol pot contribuir al seu desenvolupament. EN S'han publicat les instruccions pertinents.
Com funciona això
Les sol·licituds s'intercanvien a ACME mitjançant HTTPS mitjançant missatges JSON. Per treballar amb el protocol, cal instal·lar el client ACME al node de destinació; genera un parell de claus únic la primera vegada que accediu a la CA. Posteriorment, s'utilitzaran per signar tots els missatges del client i del servidor.
El primer missatge conté informació de contacte sobre el propietari del domini. Es signa amb la clau privada i s'envia al servidor juntament amb la clau pública. Verifica l'autenticitat de la signatura i, si tot està en ordre, inicia el tràmit d'emissió d'un certificat SSL.
Per obtenir un certificat, el client ha de demostrar al servidor que és propietari del domini. Per fer-ho, realitza certes accions disponibles només per al propietari. Per exemple, una autoritat de certificació pot generar un testimoni únic i demanar al client que el col·loqui al lloc. A continuació, l'AC emet una consulta web o DNS per recuperar la clau d'aquest testimoni.
Per exemple, en el cas de l'HTTP, la clau del testimoni s'ha de col·locar en un fitxer que servirà el servidor web. Durant la verificació del DNS, l'autoritat de certificació buscarà una clau única al document de text del registre DNS. Si tot està bé, el servidor confirma que el client s'ha validat i la CA emet un certificat.
/flickr/ /
opinions
En IETF, ACME serà útil per als administradors que han de treballar amb diversos noms de domini. L'estàndard ajudarà a enllaçar cadascun d'ells amb els SSL requerits.
Entre els avantatges de l'estàndard, els experts també destaquen diversos . Han d'assegurar-se que els certificats SSL només s'emeten als propietaris de dominis genuïns. En particular, s'utilitza un conjunt d'extensions per protegir contra atacs DNS , i per protegir-se contra DoS, l'estàndard limita la velocitat d'execució de sol·licituds individuals, per exemple, HTTP per al mètode . Els mateixos desenvolupadors d'ACME Per millorar la seguretat, afegiu entropia a les consultes DNS i executeu-les des de diversos punts de la xarxa.
Solucions semblants
També s'utilitzen protocols per obtenir certificats и .
El primer es va desenvolupar a Cisco Systems. El seu objectiu era simplificar el procediment d'emissió de certificats digitals X.509 i fer-lo el més escalable possible. Abans de SCEP, aquest procés requeria la participació activa dels administradors del sistema i no s'escalava bé. Avui aquest protocol és un dels més habituals.
Pel que fa a EST, permet als clients PKI obtenir certificats per canals segurs. Utilitza TLS per a la transferència de missatges i l'emissió de SSL, així com per vincular el CSR al remitent. A més, EST admet mètodes de criptografia el·líptica, que crea una capa addicional de seguretat.
En , les solucions com l'ACME hauran d'estendre's més. Ofereixen un model de configuració SSL simplificat i segur i també acceleren el procés.
Publicacions addicionals del nostre bloc corporatiu:
Font: www.habr.com