IETF appruvatu Ambiente di Gestione Automatica di Certificati (ACME), chì aiutarà à automatizà a ricezione di certificati SSL. Dicemu cumu si travaglia.
/flickr/ /
Perchè u standard era necessariu?
Media per paràmetru per un duminiu, l'amministratore pò passà da una à trè ore. Se fate un sbagliu, vi tuccherà à aspittà finu à chì l'applicazione hè rifiutata, solu allora pò esse presentata di novu. Tuttu chistu rende difficiule di implementà sistemi à grande scala.
A prucedura di validazione di u duminiu per ogni autorità di certificazione pò esse diffirenti. A mancanza di standardizazione porta qualchì volta à prublemi di sicurezza. Famosu quandu, per via di un bug in u sistema, una CA verificatu tutti i duminii dichjarati. In tali situazioni, i certificati SSL ponu esse emessi à risorse fraudulente.
Protocollo ACME appruvatu da IETF (specificazione ) deve automatizà è standardizà u prucessu di ottene un certificatu. È l'eliminazione di u fattore umanu aiutarà à aumentà l'affidabilità è a sicurità di a verificazione di u nome di duminiu.
U standard hè apertu è qualcunu pò cuntribuisce à u so sviluppu. IN Istruzzioni pertinenti sò stati publicati.
Cumu serà ch'ella ùn stu travagliu
E dumande sò scambiate in ACME per HTTPS utilizendu missaghji JSON. Per travaglià cù u protokollu, avete bisognu di installà u cliente ACME nantu à u node di destinazione; genera una coppia di chjave unica a prima volta chì accede à u CA. In seguitu, seranu usati per firmà tutti i missaghji da u cliente è u servitore.
U primu missaghju cuntene infurmazione di cuntattu nantu à u pruprietariu di u duminiu. Hè firmatu cù a chjave privata è mandata à u servitore cù a chjave publica. Verifica l'autenticità di a firma è, se tuttu hè in ordine, principia a prucedura per l'emissione di un certificatu SSL.
Per ottene un certificatu, u cliente deve pruvà à u servitore chì ellu pussede u duminiu. Per fà questu, eseguisce certe azzioni dispunibili solu per u pruprietariu. Per esempiu, una autorità di certificatu pò generà un token unicu è dumandà à u cliente di mette in u situ. In seguitu, a CA emette una dumanda web o DNS per ricuperà a chjave da questu token.
Per esempiu, in u casu di HTTP, a chjave da u token deve esse postu in un schedariu chì serà servutu da u servitore web. Durante a verificazione DNS, l'autorità di certificazione cercarà una chjave unica in u documentu di testu di u record DNS. Se tuttu hè bè, u servitore cunfirma chì u cliente hè statu validatu è a CA emette un certificatu.
/flickr/ /
Post
By IETF, ACME serà utile per l'amministratori chì anu da travaglià cù parechji nomi di duminiu. U standard aiuterà à ligà ognunu di elli à i SSL necessarii.
Trà i vantaghji di u standard, l'esperti notanu ancu parechji . Deve assicurà chì i certificati SSL sò emessi solu à i pruprietarii di domini genuine. In particulare, un inseme di estensioni hè utilizatu per pruteggiri contra l'attacchi DNS , è per prutege contr'à DoS, u standard limita a velocità di esecuzione di e dumande individuali - per esempiu, HTTP per u metudu . I sviluppatori ACME stessi Per migliurà a sicurità, aghjunghje l'entropia à e dumande DNS è eseguite da parechji punti di a reta.
Soluzioni simili
I protokolli sò ancu usati per ottene certificati и .
U primu hè statu sviluppatu in Cisco Systems. U so scopu era di simplificà a prucedura per l'emissione di certificati digitale X.509 è di fà u più scalable pussibule. Prima di SCEP, stu prucessu necessitava a participazione attiva di l'amministratori di u sistema è ùn hà micca scalatu bè. Oghje stu protokollu hè unu di i più cumuni.
In quantu à EST, permette à i clienti PKI di ottene certificati nantu à canali sicuri. Aduprà TLS per u trasferimentu di missaghju è l'emissione SSL, è ancu per ligà a CSR à u mittente. Inoltre, EST sustene i metudi di criptografia ellittica, chì crea una capa addiziale di sicurità.
By , suluzioni cum'è ACME duverà esse più diffusa. Offrenu un mudellu di cunfigurazione SSL simplificatu è sicuru è ancu accelerà u prucessu.
Posti supplementari da u nostru blog corporativu:
Source: www.habr.com