Von der IETF genehmigtes ACME – dies ist ein Standard für die Arbeit mit SSL-Zertifikaten

IETF-genehmigt стандарт Automatic Certificate Management Environment (ACME), das dabei hilft, den Empfang von SSL-Zertifikaten zu automatisieren. Wir erklären Ihnen, wie es funktioniert.

/flickr/ Klippe Johnson / CC BY-SA

Warum wurde der Standard benötigt?

Durchschnitt pro Einstellung SSL-Zertifikat Für eine Domain kann der Administrator zwischen einer und drei Stunden aufwenden. Wenn Sie einen Fehler machen, müssen Sie warten, bis der Antrag abgelehnt wird. Erst dann kann er erneut eingereicht werden. All dies erschwert den Einsatz groß angelegter Systeme.

Das Domänenvalidierungsverfahren für jede Zertifizierungsstelle kann unterschiedlich sein. Mangelnde Standardisierung führt manchmal zu Sicherheitsproblemen. Berühmt Fallals aufgrund eines Fehlers im System eine Zertifizierungsstelle alle deklarierten Domänen überprüfte. In solchen Situationen können SSL-Zertifikate für betrügerische Ressourcen ausgestellt werden.

IETF genehmigtes ACME-Protokoll (Spezifikation RFC8555) soll den Prozess der Erlangung eines Zertifikats automatisieren und standardisieren. Und die Eliminierung des menschlichen Faktors wird dazu beitragen, die Zuverlässigkeit und Sicherheit der Domain-Namen-Verifizierung zu erhöhen.

Der Standard ist offen und jeder kann zu seiner Entwicklung beitragen. IN Repositorys auf GitHub Entsprechende Anleitungen wurden veröffentlicht.

Wie funktioniert das

Anfragen werden in ACME über HTTPS mithilfe von JSON-Nachrichten ausgetauscht. Um mit dem Protokoll arbeiten zu können, müssen Sie den ACME-Client auf dem Zielknoten installieren; dieser generiert beim ersten Zugriff auf die CA ein eindeutiges Schlüsselpaar. Anschließend werden sie zum Signieren aller Nachrichten vom Client und Server verwendet.

Die erste Nachricht enthält Kontaktinformationen zum Domaininhaber. Es wird mit dem privaten Schlüssel signiert und zusammen mit dem öffentlichen Schlüssel an den Server gesendet. Es überprüft die Echtheit der Signatur und beginnt, wenn alles in Ordnung ist, mit dem Verfahren zur Ausstellung eines SSL-Zertifikats.

Um ein Zertifikat zu erhalten, muss der Client dem Server nachweisen, dass ihm die Domain gehört. Dazu führt er bestimmte Aktionen aus, die nur dem Eigentümer zur Verfügung stehen. Beispielsweise kann eine Zertifizierungsstelle ein eindeutiges Token generieren und den Client auffordern, es auf der Site zu platzieren. Als nächstes stellt die Zertifizierungsstelle eine Web- oder DNS-Abfrage aus, um den Schlüssel von diesem Token abzurufen.

Im Fall von HTTP muss beispielsweise der Schlüssel des Tokens in einer Datei abgelegt werden, die vom Webserver bereitgestellt wird. Bei der DNS-Verifizierung sucht die Zertifizierungsstelle im Textdokument des DNS-Eintrags nach einem eindeutigen Schlüssel. Wenn alles in Ordnung ist, bestätigt der Server die Validierung des Clients und die CA stellt ein Zertifikat aus.

/flickr/ Blondinrikard Fröberg / CC BY

Meinungen

Auf Text IETF und ACME sind für Administratoren nützlich, die mit mehreren Domänennamen arbeiten müssen. Der Standard hilft dabei, jeden von ihnen mit den erforderlichen SSLs zu verknüpfen.

Unter den Vorteilen des Standards nennen Experten auch mehrere Sicherheitsmechanismen. Sie müssen sicherstellen, dass SSL-Zertifikate nur an echte Domaininhaber ausgestellt werden. Insbesondere dient eine Reihe von Erweiterungen dem Schutz vor DNS-Angriffen DNSSEC, und zum Schutz vor DoS begrenzt der Standard die Ausführungsgeschwindigkeit einzelner Anfragen – zum Beispiel HTTP für die Methode jetzt lesen. ACME-Entwickler selbst Empfehlen Um die Sicherheit zu verbessern, fügen Sie DNS-Abfragen Entropie hinzu und führen Sie sie von mehreren Punkten im Netzwerk aus aus.

Ähnliche Lösungen

Protokolle werden auch zum Erhalten von Zertifikaten verwendet SCEP и EST.

Die erste wurde bei Cisco Systems entwickelt. Ziel war es, das Verfahren zur Ausstellung digitaler X.509-Zertifikate zu vereinfachen und möglichst skalierbar zu machen. Vor SCEP erforderte dieser Prozess die aktive Beteiligung von Systemadministratoren und ließ sich nicht gut skalieren. Heute ist dieses Protokoll eines der gebräuchlichsten.

EST ermöglicht es PKI-Clients, Zertifikate über sichere Kanäle zu erhalten. Es verwendet TLS für die Nachrichtenübertragung und SSL-Ausgabe sowie für die Bindung der CSR an den Absender. Darüber hinaus unterstützt EST elliptische Kryptografieverfahren, was eine zusätzliche Sicherheitsebene schafft.

Auf Expertenmeinung, müssen Lösungen wie ACME weiter verbreitet werden. Sie bieten ein vereinfachtes und sicheres SSL-Einrichtungsmodell und beschleunigen zudem den Prozess.

Weitere Beiträge aus unserem Unternehmensblog:

• Optionen für die IT-Infrastruktur einer Organisation
• Dateien sichern: So schützen Sie sich vor Datenverlust
• Schulungsstand für Admins: Wie die Cloud helfen kann
• Entwicklung der 1cloud Cloud-Architektur

Source: habr.com