Giaprobahan sa IETF Automatic Certificate Management Environment (ACME), nga makatabang sa pag-automate sa resibo sa SSL certificates. Atong isulti kanimo kung giunsa kini molihok.
/flickr/ /
Nganong gikinahanglan ang sumbanan?
Average kada setting alang sa usa ka domain, ang tagdumala makagugol gikan sa usa ngadto sa tulo ka oras. Kung masayop ka, kinahanglan ka maghulat hangtod ang aplikasyon isalikway, pagkahuman mahimo ra kini isumite pag-usab. Kining tanan nagpalisud sa pag-deploy sa mga dagkong sistema.
Ang pamaagi sa validation sa domain alang sa matag awtoridad sa sertipikasyon mahimong magkalahi. Ang kakulang sa standardisasyon usahay mosangpot sa mga problema sa seguridad. Bantog kung, tungod sa usa ka bug sa sistema, usa ka CA ang nagpamatuod sa tanan nga gideklarar nga mga domain. Sa ingon nga mga sitwasyon, ang mga sertipiko sa SSL mahimong ma-isyu sa malimbong nga mga kapanguhaan.
Giaprobahan sa IETF ang ACME protocol (specification ) kinahanglan nga awtomatiko ug i-standardize ang proseso sa pagkuha og sertipiko. Ug ang pagwagtang sa hinungdan sa tawo makatabang sa pagdugang sa pagkakasaligan ug seguridad sa pag-verify sa ngalan sa domain.
Ang sumbanan bukas ug bisan kinsa mahimong makatampo sa pagpalambo niini. SA Ang may kalabotan nga mga panudlo gipatik.
Unsa nga paagi nga kini nga buhat
Ang mga hangyo gibaylo sa ACME sa HTTPS gamit ang mga mensahe sa JSON. Aron magamit ang protocol, kinahanglan nimo nga i-install ang kliyente sa ACME sa target nga node; nagmugna kini usa ka talagsaon nga pares sa yawe sa unang higayon nga imong ma-access ang CA. Pagkahuman, gamiton sila sa pagpirma sa tanan nga mga mensahe gikan sa kliyente ug server.
Ang unang mensahe naglangkob sa impormasyon sa pagkontak mahitungod sa tag-iya sa domain. Gipirmahan kini gamit ang pribado nga yawe ug gipadala sa server kauban ang publiko nga yawe. Gipamatud-an niini ang pagkatinuod sa pirma ug, kung ang tanan naa sa kahusay, magsugod sa pamaagi sa pag-isyu sa usa ka SSL certificate.
Aron makakuha usa ka sertipiko, ang kliyente kinahanglan nga pamatud-an sa server nga siya ang tag-iya sa domain. Sa pagbuhat niini, siya sa pagbuhat sa pipila ka mga aksyon nga anaa lamang sa tag-iya. Pananglitan, ang usa ka awtoridad sa sertipiko makahimo og usa ka talagsaon nga timaan ug hangyoon ang kliyente nga ibutang kini sa site. Sunod, ang CA nag-isyu sa usa ka web o DNS nga pangutana aron makuha ang yawe gikan niini nga timaan.
Pananglitan, sa kaso sa HTTP, ang yawe gikan sa token kinahanglan ibutang sa usa ka file nga isilbi sa web server. Atol sa pag-verify sa DNS, ang awtoridad sa sertipikasyon mangita alang sa usa ka talagsaon nga yawe sa dokumento sa teksto sa rekord sa DNS. Kung maayo ang tanan, ang server nagpamatuod nga ang kliyente na-validate ug ang CA nag-isyu og sertipiko.
/flickr/ /
Mga opinyon
Pinaagi sa Ang IETF, ACME mahimong mapuslanon alang sa mga administrador nga kinahanglan magtrabaho sa daghang mga ngalan sa domain. Ang sumbanan makatabang sa pag-link sa matag usa kanila sa gikinahanglan nga mga SSL.
Lakip sa mga bentaha sa sumbanan, ang mga eksperto nakamatikod usab sa pipila . Kinahanglan nila sigurohon nga ang mga sertipiko sa SSL gihatag lamang sa mga tinuod nga tag-iya sa domain. Sa partikular, usa ka hugpong sa mga extension ang gigamit aron mapanalipdan batok sa mga pag-atake sa DNS , ug aron mapanalipdan batok sa DoS, gilimitahan sa sumbanan ang katulin sa pagpatuman sa mga indibidwal nga hangyo - pananglitan, HTTP alang sa pamaagi . Ang mga nag-develop sa ACME mismo Aron mapauswag ang seguridad, idugang ang entropy sa mga pangutana sa DNS ug ipatuman kini gikan sa daghang mga punto sa network.
Susama nga mga solusyon
Ang mga protocol gigamit usab aron makakuha mga sertipiko ΠΈ .
Ang una naugmad sa Cisco Systems. Ang tumong niini mao ang pagpayano sa pamaagi sa pag-isyu sa X.509 digital certificates ug himoon kini nga scalable kutob sa mahimo. Sa wala pa ang SCEP, kini nga proseso nanginahanglan sa aktibo nga partisipasyon sa mga tagdumala sa sistema ug dili maayo ang pag-scale. Karon kini nga protocol usa sa labing kasagaran.
Sama sa alang sa EST, gitugotan niini ang mga kliyente sa PKI nga makakuha mga sertipiko sa luwas nga mga agianan. Gigamit niini ang TLS alang sa pagbalhin sa mensahe ug pag-isyu sa SSL, ingon man sa pagbugkos sa CSR sa nagpadala. Dugang pa, gisuportahan sa EST ang mga pamaagi sa elliptic cryptography, nga nagmugna usa ka dugang nga layer sa seguridad.
Pinaagi sa , ang mga solusyon sama sa ACME kinahanglan nga mahimong mas kaylap. Nagtanyag sila usa ka gipasimple ug luwas nga modelo sa pag-setup sa SSL ug gipadali usab ang proseso.
Dugang nga mga post gikan sa among corporate blog:
Source: www.habr.com