IETF wedi'i gymeradwyo Amgylchedd Rheoli Tystysgrif Awtomatig (ACME), a fydd yn helpu i awtomeiddio derbyn tystysgrifau SSL. Gadewch i ni ddweud wrthych sut mae'n gweithio.
/Flickr/ /
Pam roedd angen y safon?
Cyfartaledd fesul lleoliad ar gyfer parth, gall y gweinyddwr dreulio o un i dair awr. Os gwnewch gamgymeriad, bydd yn rhaid i chi aros nes bod y cais yn cael ei wrthod, dim ond wedyn y gellir ei gyflwyno eto. Mae hyn i gyd yn ei gwneud hi'n anodd defnyddio systemau ar raddfa fawr.
Gall y weithdrefn ddilysu parth ar gyfer pob awdurdod ardystio fod yn wahanol. Weithiau mae diffyg safoni yn arwain at broblemau diogelwch. Enwog pan, oherwydd nam yn y system, roedd un CA wedi dilysu'r holl barthau a ddatganwyd. Mewn sefyllfaoedd o'r fath, gellir rhoi tystysgrifau SSL i adnoddau twyllodrus.
Protocol ACME a gymeradwywyd gan IETF (manyleb ) dylai awtomeiddio a safoni'r broses o gael tystysgrif. A bydd dileu'r ffactor dynol yn helpu i gynyddu dibynadwyedd a diogelwch dilysu enwau parth.
Mae'r safon yn agored a gall unrhyw un gyfrannu at ei datblygiad. YN Mae cyfarwyddiadau perthnasol wedi'u cyhoeddi.
Sut mae hwn
Mae ceisiadau'n cael eu cyfnewid yn ACME dros HTTPS gan ddefnyddio negeseuon JSON. I weithio gyda'r protocol, mae angen i chi osod y cleient ACME ar y nod targed; mae'n cynhyrchu pâr allweddol unigryw y tro cyntaf i chi gael mynediad i'r CA. Yn dilyn hynny, byddant yn cael eu defnyddio i lofnodi pob neges gan y cleient a'r gweinydd.
Mae'r neges gyntaf yn cynnwys gwybodaeth gyswllt am berchennog y parth. Mae wedi'i lofnodi gyda'r allwedd breifat a'i anfon at y gweinydd ynghyd â'r allwedd gyhoeddus. Mae'n gwirio dilysrwydd y llofnod ac, os yw popeth mewn trefn, yn cychwyn y weithdrefn ar gyfer rhoi tystysgrif SSL.
I gael tystysgrif, rhaid i'r cleient brofi i'r gweinydd mai ef sy'n berchen ar y parth. I wneud hyn, mae'n perfformio rhai gweithredoedd sydd ar gael i'r perchennog yn unig. Er enghraifft, gall awdurdod tystysgrif gynhyrchu tocyn unigryw a gofyn i'r cleient ei osod ar y wefan. Nesaf, mae'r CA yn cyhoeddi gwe neu ymholiad DNS i adfer yr allwedd o'r tocyn hwn.
Er enghraifft, yn achos HTTP, rhaid gosod yr allwedd o'r tocyn mewn ffeil a fydd yn cael ei gwasanaethu gan y gweinydd gwe. Yn ystod dilysu DNS, bydd yr awdurdod ardystio yn chwilio am allwedd unigryw yn nogfen destun y cofnod DNS. Os yw popeth yn iawn, mae'r gweinydd yn cadarnhau bod y cleient wedi'i ddilysu ac mae'r CA yn cyhoeddi tystysgrif.
/Flickr/ /
Swyddi
Ar Bydd IETF, ACME yn ddefnyddiol i weinyddwyr sy'n gorfod gweithio gydag enwau parth lluosog. Bydd y safon yn helpu i gysylltu pob un ohonynt â'r SSLs gofynnol.
Ymhlith manteision y safon, mae arbenigwyr hefyd yn nodi sawl un . Rhaid iddynt sicrhau bod tystysgrifau SSL yn cael eu rhoi i berchnogion parth dilys yn unig. Yn benodol, defnyddir set o estyniadau i amddiffyn rhag ymosodiadau DNS , ac i amddiffyn rhag DoS, mae'r safon yn cyfyngu ar gyflymder gweithredu ceisiadau unigol - er enghraifft, HTTP ar gyfer y dull . Datblygwyr ACME eu hunain Er mwyn gwella diogelwch, ychwanegwch entropi at ymholiadau DNS a'u gweithredu o sawl pwynt ar y rhwydwaith.
Atebion tebyg
Defnyddir protocolau hefyd i gael tystysgrifau и .
Datblygwyd y cyntaf yn Cisco Systems. Ei nod oedd symleiddio'r weithdrefn ar gyfer rhoi tystysgrifau digidol X.509 a'i gwneud mor raddadwy â phosibl. Cyn SCEP, roedd y broses hon yn gofyn am gyfranogiad gweithredol gweinyddwyr systemau ac nid oedd yn raddfa dda. Heddiw mae'r protocol hwn yn un o'r rhai mwyaf cyffredin.
Fel ar gyfer EST, mae'n caniatáu i gleientiaid PKI gael tystysgrifau dros sianeli diogel. Mae'n defnyddio TLS ar gyfer trosglwyddo negeseuon a chyhoeddi SSL, yn ogystal ag i rwymo'r CSR i'r anfonwr. Yn ogystal, mae EST yn cefnogi dulliau cryptograffeg eliptig, sy'n creu haen ychwanegol o ddiogelwch.
Ar , bydd angen i atebion fel ACME ddod yn fwy eang. Maent yn cynnig model gosod SSL symlach a diogel a hefyd yn cyflymu'r broses.
Postiadau ychwanegol o'n blog corfforaethol:
Ffynhonnell: hab.com