IETF godkendt Automatic Certificate Management Environment (ACME), som vil hjælpe med at automatisere modtagelse af SSL-certifikater. Lad os fortælle dig, hvordan det virker.
/flickr/ /
Hvorfor var standarden nødvendig?
Gennemsnit pr. indstilling for et domæne kan en administrator bruge fra en til tre timer. Hvis du laver en fejl, skal du vente til ansøgningen afvises, først derefter kan den indsendes igen. Alt dette gør det vanskeligt at implementere store systemer.
Domænevalideringsproceduren kan variere for hver certificeringsmyndighed. Mangel på standardisering fører nogle gange til sikkerhedsproblemer. Berømt når, på grund af en fejl i systemet, én CA bekræftede alle erklærede domæner. I sådanne situationer kan SSL-certifikater udstedes til svigagtige ressourcer.
IETF-godkendt ACME-protokol (specifikation ) bør automatisere og standardisere processen med at opnå et certifikat. Og eliminering af den menneskelige faktor vil bidrage til at øge pålideligheden og sikkerheden af domænenavnsbekræftelse.
Standarden er åben, og enhver kan bidrage til dens udvikling. I instruktioner er blevet offentliggjort.
Hvordan fungerer denne her
Anmodninger i ACME udveksles over HTTPS ved hjælp af JSON-meddelelser. For at arbejde med protokollen skal du installere en ACME-klient på målnoden; den genererer et unikt nøglepar første gang, den får adgang til CA'en. Efterfølgende vil de blive brugt til at signere alle klient- og servermeddelelser.
Den første besked indeholder kontaktoplysninger om ejeren af domænet. Den signeres med den private nøgle og sendes til serveren sammen med den offentlige nøgle. Den kontrollerer signaturens ægthed, og hvis alt er i orden, starter proceduren for udstedelse af et SSL-certifikat.
For at opnå et certifikat skal klienten bevise over for serveren, at den ejer domænet. For at gøre dette udfører han visse handlinger, der kun er tilgængelige for ejeren. For eksempel kan en certifikatmyndighed generere et unikt token og bede klienten om at placere det på webstedet. Dernæst udsteder CA en web- eller DNS-forespørgsel for at udtrække nøglen fra dette token.
For eksempel, i tilfælde af HTTP, skal nøglen fra tokenet placeres i en fil, der vil blive serveret af webserveren. Under DNS-verifikation vil certificeringsmyndigheden lede efter en unik nøgle i tekstdokumentet til DNS-posten. Hvis alt er i orden, bekræfter serveren, at klienten er blevet valideret, og CA udsteder et certifikat.
/flickr/ /
udtalelser
On IETF, ACME vil være nyttigt for administratorer, der skal arbejde med flere domænenavne. Standarden hjælper med at knytte hver af dem til den ønskede SSL.
Blandt fordelene ved standarden bemærker eksperter også flere . De skal sikre, at SSL-certifikater kun udstedes til de reelle ejere af domænerne. Især bruges et sæt udvidelser til at beskytte mod DNS-angreb. , og for at beskytte mod DoS, begrænser standarden hastigheden af udførelsen af individuelle anmodninger - for eksempel HTTP for metoden . ACME-udviklerne selv for at øge sikkerheden skal du tilføje entropi til DNS-forespørgsler og udføre dem fra flere punkter i netværket.
Lignende løsninger
Protokoller bruges også til at opnå certifikater. и .
Den første blev udviklet af Cisco Systems. Dens mål var at forenkle proceduren for udstedelse af X.509 digitale certifikater og gøre den så skalerbar som muligt. Før fremkomsten af SCEP krævede denne proces aktiv deltagelse af systemadministratorer og skaleres ikke godt. I dag er denne protokol en af de mest almindelige.
Hvad angår EST, giver det PKI-klienter mulighed for at opnå certifikater over sikre kanaler. Den bruger TLS til meddelelser og udstedelse af SSL, samt binding af CSR'en til afsenderen. Derudover understøtter EST elliptiske kryptografimetoder, som skaber et ekstra lag af beskyttelse.
On , vil løsninger som ACME skulle anvendes mere bredt. De tilbyder en forenklet og sikker SSL-opsætningsmodel og fremskynder også processen.
Yderligere indlæg fra vores virksomhedsblog:
Kilde: www.habr.com