Εγκρίθηκε από το IETF ACME - αυτό είναι ένα πρότυπο για την εργασία με πιστοποιητικά SSL

Εγκρίθηκε από το IETF πρότυπο Automatic Certificate Management Environment (ACME), το οποίο θα βοηθήσει στην αυτοματοποίηση της λήψης πιστοποιητικών SSL. Ας σας πούμε πώς λειτουργεί.

/flickr/ Κλιφ Τζόνσον / CC BY-SA

Γιατί χρειαζόταν το πρότυπο;

Μέσος όρος ανά ρύθμιση Πιστοποιητικό SSL για έναν τομέα, ο διαχειριστής μπορεί να αφιερώσει από μία έως τρεις ώρες. Εάν κάνετε λάθος, θα πρέπει να περιμένετε μέχρι να απορριφθεί η αίτηση, μόνο τότε μπορεί να υποβληθεί ξανά. Όλα αυτά καθιστούν δύσκολη την ανάπτυξη συστημάτων μεγάλης κλίμακας.

Η διαδικασία επικύρωσης τομέα για κάθε αρχή πιστοποίησης ενδέχεται να διαφέρει. Η έλλειψη τυποποίησης οδηγεί μερικές φορές σε προβλήματα ασφάλειας. Διάσημος συμβαίνειόταν, λόγω σφάλματος στο σύστημα, μια ΑΠ επαλήθευσε όλους τους δηλωθέντες τομείς. Σε τέτοιες περιπτώσεις, τα πιστοποιητικά SSL ενδέχεται να εκδίδονται για δόλιες πηγές.

Εγκεκριμένο από το IETF πρωτόκολλο ACME (προδιαγραφή RFC8555) θα πρέπει να αυτοματοποιεί και να τυποποιεί τη διαδικασία απόκτησης πιστοποιητικού. Και η εξάλειψη του ανθρώπινου παράγοντα θα συμβάλει στην αύξηση της αξιοπιστίας και της ασφάλειας της επαλήθευσης του ονόματος τομέα.

Το πρότυπο είναι ανοιχτό και ο καθένας μπορεί να συμβάλει στην ανάπτυξή του. ΣΕ αποθετήρια στο GitHub Έχουν δημοσιευτεί σχετικές οδηγίες.

Πώς λειτουργεί;

Τα αιτήματα ανταλλάσσονται σε ACME μέσω HTTPS χρησιμοποιώντας μηνύματα JSON. Για να εργαστείτε με το πρωτόκολλο, πρέπει να εγκαταστήσετε τον πελάτη ACME στον κόμβο προορισμού· δημιουργεί ένα μοναδικό ζεύγος κλειδιών την πρώτη φορά που αποκτάτε πρόσβαση στην ΑΠ. Στη συνέχεια, θα χρησιμοποιηθούν για την υπογραφή όλων των μηνυμάτων από τον πελάτη και τον διακομιστή.

Το πρώτο μήνυμα περιέχει στοιχεία επικοινωνίας σχετικά με τον κάτοχο του τομέα. Υπογράφεται με το ιδιωτικό κλειδί και αποστέλλεται στον διακομιστή μαζί με το δημόσιο κλειδί. Επαληθεύει τη γνησιότητα της υπογραφής και, αν όλα είναι εντάξει, ξεκινά η διαδικασία έκδοσης πιστοποιητικού SSL.

Για να αποκτήσει πιστοποιητικό, ο πελάτης πρέπει να αποδείξει στον διακομιστή ότι είναι κάτοχος του τομέα. Για να γίνει αυτό, εκτελεί ορισμένες ενέργειες που είναι διαθέσιμες μόνο στον ιδιοκτήτη. Για παράδειγμα, μια αρχή έκδοσης πιστοποιητικών μπορεί να δημιουργήσει ένα μοναδικό διακριτικό και να ζητήσει από τον πελάτη να το τοποθετήσει στον ιστότοπο. Στη συνέχεια, η αρχή αρχής εκδίδει ένα ερώτημα ιστού ή DNS για να ανακτήσει το κλειδί από αυτό το διακριτικό.

Για παράδειγμα, στην περίπτωση του HTTP, το κλειδί από το διακριτικό πρέπει να τοποθετηθεί σε ένα αρχείο που θα εξυπηρετηθεί από τον διακομιστή web. Κατά την επαλήθευση DNS, η αρχή πιστοποίησης θα αναζητήσει ένα μοναδικό κλειδί στο έγγραφο κειμένου της εγγραφής DNS. Εάν όλα είναι εντάξει, ο διακομιστής επιβεβαιώνει ότι ο πελάτης έχει επικυρωθεί και η CA εκδίδει ένα πιστοποιητικό.

/flickr/ Blondinrikard Froberg / CC BY

Απόψεις

Επί λόγια Το IETF, ACME θα είναι χρήσιμο για διαχειριστές που πρέπει να εργαστούν με πολλά ονόματα τομέα. Το πρότυπο θα σας βοηθήσει να συνδέσετε καθένα από αυτά με τα απαιτούμενα SSL.

Μεταξύ των πλεονεκτημάτων του προτύπου, οι ειδικοί σημειώνουν επίσης πολλά μηχανισμών ασφαλείας. Πρέπει να διασφαλίζουν ότι τα πιστοποιητικά SSL εκδίδονται μόνο σε γνήσιους κατόχους τομέα. Συγκεκριμένα, χρησιμοποιείται ένα σύνολο επεκτάσεων για την προστασία από επιθέσεις DNS DNSSEC, και για προστασία από DoS, το πρότυπο περιορίζει την ταχύτητα εκτέλεσης μεμονωμένων αιτημάτων - για παράδειγμα, HTTP για τη μέθοδο ΜΕΤΑ. Οι ίδιοι οι προγραμματιστές ACME συνιστώ Για να βελτιώσετε την ασφάλεια, προσθέστε εντροπία σε ερωτήματα DNS και εκτελέστε τα από πολλά σημεία του δικτύου.

Παρόμοιες λύσεις

Τα πρωτόκολλα χρησιμοποιούνται επίσης για την απόκτηση πιστοποιητικών SCEP и EST.

Το πρώτο αναπτύχθηκε στη Cisco Systems. Στόχος της ήταν να απλοποιήσει τη διαδικασία έκδοσης ψηφιακών πιστοποιητικών X.509 και να την καταστήσει όσο το δυνατόν πιο επεκτάσιμη. Πριν από το SCEP, αυτή η διαδικασία απαιτούσε την ενεργή συμμετοχή των διαχειριστών του συστήματος και δεν είχε καλή κλίμακα. Σήμερα αυτό το πρωτόκολλο είναι ένα από τα πιο κοινά.

Όσον αφορά το EST, επιτρέπει στους πελάτες PKI να αποκτούν πιστοποιητικά μέσω ασφαλών καναλιών. Χρησιμοποιεί το TLS για τη μεταφορά μηνυμάτων και την έκδοση SSL, καθώς και για τη δέσμευση του CSR με τον αποστολέα. Επιπλέον, το EST υποστηρίζει μεθόδους ελλειπτικής κρυπτογραφίας, γεγονός που δημιουργεί ένα πρόσθετο επίπεδο ασφάλειας.

Επί γνώμη ειδικού, λύσεις όπως το ACME θα πρέπει να γίνουν πιο διαδεδομένες. Προσφέρουν ένα απλοποιημένο και ασφαλές μοντέλο εγκατάστασης SSL και επίσης επιταχύνουν τη διαδικασία.

Πρόσθετες αναρτήσεις από το εταιρικό μας ιστολόγιο:

• Επιλογές υποδομής πληροφορικής του οργανισμού
• Δημιουργία αντιγράφων ασφαλείας αρχείων: πώς να προστατευτείτε από την απώλεια δεδομένων
• Εκπαιδευτικό περίπτερο για διαχειριστές: πώς μπορεί να βοηθήσει το cloud
• Η εξέλιξη της αρχιτεκτονικής cloud 1cloud

Πηγή: www.habr.com