Schváleno IETF Automatic Certificate Management Environment (ACME), které pomůže automatizovat příjem SSL certifikátů. Pojďme si říct, jak to funguje.
/flickr/ /
Proč byl standard potřeba?
Průměr na nastavení u domény může administrátor strávit jednu až tři hodiny. Pokud uděláte chybu, budete muset počkat, až bude žádost zamítnuta, teprve poté bude možné ji podat znovu. To vše ztěžuje nasazení rozsáhlých systémů.
Postup ověření domény pro každou certifikační autoritu se může lišit. Nedostatek standardizace někdy vede k bezpečnostním problémům. Slavný kdy kvůli chybě v systému jedna CA ověřila všechny deklarované domény. V takových situacích mohou být certifikáty SSL vydány podvodným zdrojům.
Protokol ACME schválený IETF (specifikace ) by měl automatizovat a standardizovat proces získání certifikátu. A odstranění lidského faktoru pomůže zvýšit spolehlivost a bezpečnost ověřování doménových jmen.
Standard je otevřený a kdokoli může přispět k jeho rozvoji. V Byly zveřejněny příslušné pokyny.
Jak to funguje
Požadavky se vyměňují v ACME přes HTTPS pomocí zpráv JSON. Chcete-li s protokolem pracovat, musíte na cílový uzel nainstalovat klienta ACME, který při prvním přístupu k CA vygeneruje jedinečný pár klíčů. Následně budou použity k podepsání všech zpráv z klienta a serveru.
První zpráva obsahuje kontaktní údaje vlastníka domény. Je podepsán soukromým klíčem a odeslán na server spolu s veřejným klíčem. Ověří pravost podpisu a pokud je vše v pořádku, zahájí proceduru vydání SSL certifikátu.
Pro získání certifikátu musí klient serveru prokázat, že je vlastníkem domény. K tomu provádí určité akce dostupné pouze majiteli. Certifikační autorita může například vygenerovat jedinečný token a požádat klienta, aby jej umístil na web. Dále certifikační úřad vydá webový dotaz nebo dotaz DNS, aby načetl klíč z tohoto tokenu.
Například v případě HTTP musí být klíč z tokenu umístěn do souboru, který bude obsluhovat webový server. Při ověřování DNS bude certifikační autorita hledat jedinečný klíč v textovém dokumentu DNS záznamu. Pokud je vše v pořádku, server potvrdí, že klient byl ověřen a CA vydá certifikát.
/flickr/ /
názory
Na IETF, ACME budou užitečné pro administrátory, kteří musí pracovat s více názvy domén. Standard pomůže propojit každý z nich s požadovanými SSL.
Mezi výhody standardu odborníci také zaznamenají několik . Musí zajistit, aby byly certifikáty SSL vydávány pouze skutečným vlastníkům domén. K ochraně před útoky DNS se používá zejména sada rozšíření , a pro ochranu proti DoS norma omezuje rychlost provádění jednotlivých požadavků – například HTTP pro metodu . Sami vývojáři ACME Chcete-li zlepšit zabezpečení, přidejte k dotazům DNS entropii a spouštějte je z více bodů v síti.
Podobná řešení
Protokoly se také používají k získání certifikátů и .
První byl vyvinut ve společnosti Cisco Systems. Jeho cílem bylo zjednodušit postup při vydávání digitálních certifikátů X.509 a učinit jej co nejvíce škálovatelným. Před SCEP tento proces vyžadoval aktivní účast systémových administrátorů a nebyl dostatečně škálovatelný. Dnes je tento protokol jedním z nejběžnějších.
Pokud jde o EST, umožňuje klientům PKI získat certifikáty přes zabezpečené kanály. Používá TLS pro přenos zpráv a vydávání SSL, stejně jako pro svázání CSR s odesílatelem. EST navíc podporuje metody eliptické kryptografie, což vytváří další vrstvu zabezpečení.
Na řešení jako ACME se budou muset více rozšířit. Nabízejí zjednodušený a bezpečný model nastavení SSL a také urychlují proces.
Další příspěvky z našeho firemního blogu:
Zdroj: www.habr.com