IETF heaks kiidetud Automaatne sertifikaatide halduskeskkond (ACME), mis aitab automatiseerida SSL-sertifikaatide vastuvõtmist. Räägime teile, kuidas see toimib.
/Flickr/ /
Miks oli standardit vaja?
Keskmine seadistuse kohta domeeni jaoks võib administraator kulutada üks kuni kolm tundi. Kui teete vea, peate ootama, kuni taotlus lükatakse tagasi, alles siis saab selle uuesti esitada. Kõik see raskendab suuremahuliste süsteemide juurutamist.
Iga sertifitseerimisasutuse domeeni kinnitamise protseduur võib erineda. Standardi puudumine põhjustab mõnikord turvaprobleeme. Kuulus kui süsteemis esineva vea tõttu kontrollis üks CA kõiki deklareeritud domeene. Sellistes olukordades võidakse petturlikele ressurssidele väljastada SSL-sertifikaate.
IETF-i poolt heaks kiidetud ACME protokoll (spetsifikatsioon ) peaks automatiseerima ja standardima sertifikaadi saamise protsessi. Ja inimfaktori kõrvaldamine aitab suurendada domeeninime kontrollimise usaldusväärsust ja turvalisust.
Standard on avatud ja selle arendamisse saab panustada igaüks. IN Vastavad juhised on avaldatud.
Kuidas see töötab
Päringuid vahetatakse ACME-s HTTPS-i kaudu, kasutades JSON-sõnumeid. Protokolliga töötamiseks peate sihtsõlme installima ACME-kliendi; see loob unikaalse võtmepaari esmakordsel CA-le juurdepääsu korral. Seejärel kasutatakse neid kõigi kliendi ja serveri sõnumite allkirjastamiseks.
Esimene sõnum sisaldab domeeni omaniku kontaktteavet. See allkirjastatakse privaatvõtmega ja saadetakse koos avaliku võtmega serverisse. See kontrollib allkirja autentsust ja kui kõik on korras, alustab SSL-sertifikaadi väljastamise protseduuri.
Sertifikaadi saamiseks peab klient serverile tõestama, et domeen kuulub talle. Selleks teeb ta teatud toiminguid, mis on saadaval ainult omanikule. Näiteks võib sertifitseerimisasutus genereerida ainulaadse loa ja paluda kliendil see saidile paigutada. Järgmisena väljastab CA veebi- või DNS-päringu võtme toomiseks sellelt märgilt.
Näiteks HTTP puhul tuleb märgist pärit võti paigutada faili, mida hakkab teenindama veebiserver. DNS-i kontrollimise ajal otsib sertifitseerimisasutus DNS-kirje tekstidokumendist kordumatut võtit. Kui kõik on korras, kinnitab server, et klient on valideeritud ja CA väljastab sertifikaadi.
/Flickr/ /
arvamused
Edasi IETF, ACME on kasulikud administraatoritele, kes peavad töötama mitme domeeninimega. Standard aitab neid kõiki siduda vajalike SSL-idega.
Standardi eeliste hulgas märgivad eksperdid ka mitmeid . Nad peavad tagama, et SSL-sertifikaate väljastatakse ainult tõelistele domeeniomanikele. Eelkõige kasutatakse DNS-i rünnakute eest kaitsmiseks laienduste komplekti ja DoS-i eest kaitsmiseks piirab standard üksikute päringute täitmise kiirust – meetodi puhul näiteks HTTP . ACME arendajad ise Turvalisuse parandamiseks lisage DNS-päringutele entroopia ja käivitage need võrgu mitmest punktist.
Sarnased lahendused
Sertifikaatide saamiseks kasutatakse ka protokolle и .
Esimene töötati välja Cisco Systemsis. Selle eesmärk oli lihtsustada X.509 digisertifikaatide väljastamise protseduuri ja muuta see võimalikult skaleeritavaks. Enne SCEP-i nõudis see protsess süsteemiadministraatorite aktiivset osalemist ja see ei ulatunud hästi. Tänapäeval on see protokoll üks levinumaid.
Mis puutub EST-i, siis see võimaldab PKI klientidel hankida sertifikaate turvaliste kanalite kaudu. See kasutab TLS-i sõnumite edastamiseks ja SSL-i väljastamiseks, samuti CSR-i sidumiseks saatjaga. Lisaks toetab EST elliptilise krüptograafia meetodeid, mis loob täiendava turvakihi.
Edasi , peavad sellised lahendused nagu ACME laiemalt levima. Need pakuvad lihtsustatud ja turvalist SSL-i seadistusmudelit ning kiirendavad ka protsessi.
Lisapostitused meie ettevõtte blogist:
Allikas: www.habr.com