IETF aprobis Aŭtomata Certificate Management Environment (ACME), kiu helpos aŭtomatigi la ricevon de SSL-atestiloj. Ni diru al vi kiel ĝi funkcias.
/flickr/ /
Kial oni bezonis la normon?
Mezumo per agordo por domajno, la administranto povas pasigi de unu ĝis tri horoj. Se vi eraras, vi devos atendi ĝis la kandidatiĝo estos malakceptita, nur post tio ĝi povas esti sendita denove. Ĉio ĉi malfaciligas la grandskalajn sistemojn.
La domajna validuma proceduro por ĉiu atestadaŭtoritato povas malsami. Manko de normigado foje kondukas al sekurecaj problemoj. Fama kiam, pro cimo en la sistemo, unu CA kontrolis ĉiujn deklaritajn domajnojn. En tiaj situacioj, SSL-atestiloj povas esti elsenditaj al fraŭdaj rimedoj.
IETF aprobis ACME-protokolon (specifo ) devus aŭtomatigi kaj normigi la procezon de akiro de atestilo. Kaj forigi la homan faktoron helpos pliigi la fidindecon kaj sekurecon de domajna nomo-konfirmo.
La normo estas malfermita kaj ĉiu povas kontribui al ĝia evoluo. EN Koncernaj instrukcioj estis publikigitaj.
Kiel tio funkcias
Petoj estas interŝanĝitaj en ACME per HTTPS per JSON-mesaĝoj. Por labori kun la protokolo, vi devas instali la ACME-klienton sur la cela nodo; ĝi generas unikan ŝlosilparon la unuan fojon kiam vi aliras la CA. Poste, ili estos uzataj por subskribi ĉiujn mesaĝojn de la kliento kaj servilo.
La unua mesaĝo enhavas kontaktinformojn pri la domajna posedanto. Ĝi estas subskribita per la privata ŝlosilo kaj sendita al la servilo kune kun la publika ŝlosilo. Ĝi kontrolas la aŭtentikecon de la subskribo kaj, se ĉio estas en ordo, komencas la proceduron por eldoni SSL-atestilon.
Por akiri atestilon, la kliento devas pruvi al la servilo, ke li posedas la domajnon. Por fari tion, li faras iujn agojn disponeblajn nur por la posedanto. Ekzemple, atestila aŭtoritato povas generi unikan signon kaj peti al la kliento meti ĝin sur la retejon. Poste, la CA eldonas retejon aŭ DNS-demandon por preni la ŝlosilon de ĉi tiu signo.
Ekzemple, en la kazo de HTTP, la ŝlosilo de la ĵetono devas esti metita en dosieron, kiu estos servata de la retservilo. Dum DNS-kontrolo, la atestadaŭtoritato serĉos unikan ŝlosilon en la teksta dokumento de la DNS-rekordo. Se ĉio estas en ordo, la servilo konfirmas, ke la kliento estas validigita kaj la CA eldonas atestilon.
/flickr/ /
Opinioj
Por IETF, ACME estos utila por administrantoj, kiuj devas labori kun pluraj domajnaj nomoj. La normo helpos ligi ĉiun el ili al la postulataj SSLoj.
Inter la avantaĝoj de la normo, spertuloj ankaŭ notas plurajn . Ili devas certigi, ke SSL-atestiloj estas elsenditaj nur al aŭtentaj domajnaj posedantoj. Aparte, aro de etendaĵoj estas uzata por protekti kontraŭ DNS-atakoj , kaj por protekti kontraŭ DoS, la normo limigas la rapidecon de plenumo de individuaj petoj - ekzemple HTTP por la metodo . ACME-programistoj mem Por plibonigi sekurecon, aldonu entropion al DNS-demandoj kaj plenumu ilin de pluraj punktoj en la reto.
Similaj solvoj
Protokoloj ankaŭ estas uzataj por akiri atestojn и .
La unua estis evoluigita ĉe Cisco Systems. Ĝia celo estis simpligi la proceduron por eldonado de X.509-ciferecaj atestiloj kaj fari ĝin kiel eble plej skalebla. Antaŭ SCEP, ĉi tiu procezo postulis aktivan partoprenon de sistemadministrantoj kaj ne bone skalis. Hodiaŭ ĉi tiu protokolo estas unu el la plej oftaj.
Koncerne EST, ĝi permesas al PKI-klientoj akiri atestojn per sekuraj kanaloj. Ĝi uzas TLS por mesaĝtransdono kaj SSL-emisio, same kiel por ligi la CSR al la sendinto. Krome, EST subtenas elipsajn kriptografiajn metodojn, kiuj kreas plian tavolon de sekureco.
Por , solvoj kiel ACME devos fariĝi pli disvastigitaj. Ili ofertas simpligitan kaj sekuran SSL-aran modelon kaj ankaŭ akcelas la procezon.
Pliaj afiŝoj de nia kompania blogo:
fonto: www.habr.com