Aprobado por el IETF Entorno automático de gestión de certificados (ACME), que ayudará a automatizar la recepción de certificados SSL. Te contamos cómo funciona.
/flickr/ /
¿Por qué era necesaria la norma?
Promedio por configuración para un dominio, el administrador puede dedicar de una a tres horas. Si comete un error, tendrá que esperar hasta que la solicitud sea rechazada, sólo entonces podrá volver a enviarla. Todo esto dificulta el despliegue de sistemas a gran escala.
El procedimiento de validación de dominio para cada autoridad de certificación puede diferir. La falta de estandarización a veces genera problemas de seguridad. Famoso cuando, debido a un error en el sistema, una CA verificó todos los dominios declarados. En tales situaciones, se pueden emitir certificados SSL para recursos fraudulentos.
Protocolo ACME aprobado por IETF (especificación ) debería automatizar y estandarizar el proceso de obtención de un certificado. Y eliminar el factor humano ayudará a aumentar la confiabilidad y seguridad de la verificación de nombres de dominio.
El estándar es abierto y cualquiera puede contribuir a su desarrollo. EN Se han publicado las instrucciones pertinentes.
¿Cómo funciona esto
Las solicitudes se intercambian en ACME a través de HTTPS mediante mensajes JSON. Para trabajar con el protocolo, necesita instalar el cliente ACME en el nodo de destino; genera un par de claves único la primera vez que accede a la CA. Posteriormente, se utilizarán para firmar todos los mensajes del cliente y del servidor.
El primer mensaje contiene información de contacto sobre el propietario del dominio. Se firma con la clave privada y se envía al servidor junto con la clave pública. Verifica la autenticidad de la firma y, si todo está en orden, inicia el trámite de emisión de un certificado SSL.
Para obtener un certificado, el cliente debe demostrar al servidor que es propietario del dominio. Para ello, realiza determinadas acciones disponibles sólo para el propietario. Por ejemplo, una autoridad certificadora puede generar un token único y pedirle al cliente que lo coloque en el sitio. A continuación, la CA emite una consulta web o DNS para recuperar la clave de este token.
Por ejemplo, en el caso de HTTP, la clave del token debe colocarse en un archivo que será servido por el servidor web. Durante la verificación de DNS, la autoridad de certificación buscará una clave única en el documento de texto del registro DNS. Si todo está bien, el servidor confirma que el cliente ha sido validado y la CA emite un certificado.
/flickr/ /
Opiniones
En IETF, ACME será útil para los administradores que tienen que trabajar con varios nombres de dominio. El estándar ayudará a vincular cada uno de ellos a los SSL requeridos.
Entre las ventajas de la norma, los expertos también señalan varias . Deben asegurarse de que los certificados SSL se emitan únicamente a propietarios de dominios genuinos. En particular, se utiliza un conjunto de extensiones para proteger contra ataques DNS. , y para protegerse contra DoS, el estándar limita la velocidad de ejecución de solicitudes individuales, por ejemplo, HTTP para el método . Los propios desarrolladores de ACME Para mejorar la seguridad, agregue entropía a las consultas DNS y ejecútelas desde múltiples puntos de la red.
Soluciones similares
Los protocolos también se utilizan para obtener certificados. и .
El primero fue desarrollado en Cisco Systems. Su objetivo era simplificar el procedimiento de emisión de certificados digitales X.509 y hacerlo lo más escalable posible. Antes de SCEP, este proceso requería la participación activa de los administradores de sistemas y no escalaba bien. Hoy en día este protocolo es uno de los más comunes.
En cuanto a EST, permite a los clientes de PKI obtener certificados a través de canales seguros. Utiliza TLS para la transferencia de mensajes y la emisión de SSL, así como para vincular el CSR al remitente. Además, EST admite métodos de criptografía elíptica, lo que crea una capa adicional de seguridad.
En , será necesario generalizar más soluciones como ACME. Ofrecen un modelo de configuración SSL simplificado y seguro y también aceleran el proceso.
Publicaciones adicionales de nuestro blog corporativo:
Fuente: habr.com