IETF-k onartu zuen Ziurtagirien kudeaketa automatikoko ingurunea (ACME), SSL ziurtagirien jasotzea automatizatzen lagunduko duena. Esan dezagun nola funtzionatzen duen.
/flickr/ /
Zergatik behar zen estandarra?
Ezarpen bakoitzeko batez bestekoa domeinu baterako, administratzaileak ordu batetik hiru ordu igaro ditzake. Akatsen bat egiten baduzu, eskaera ezetsi arte itxaron beharko duzu, orduan bakarrik aurkeztu ahal izango da berriro. Horrek guztiak zaildu egiten du eskala handiko sistemak zabaltzea.
Ziurtagiri-agintari bakoitzerako domeinua baliozkotzeko prozedura desberdina izan daiteke. Normalizazio faltak segurtasun arazoak ekartzen ditu batzuetan. Ospetsua sistemaren akats baten ondorioz CA batek deklaratutako domeinu guztiak egiaztatu zituenean. Egoera horietan, SSL ziurtagiriak igor daitezke iruzurrezko baliabideei.
IETFek onartutako ACME protokoloa (zehaztapena ) ziurtagiria lortzeko prozesua automatizatu eta normalizatu beharko luke. Eta giza faktorea ezabatzeak domeinu-izenen egiaztapenaren fidagarritasuna eta segurtasuna areagotzen lagunduko du.
Estandarra irekia da eta edonork lagundu dezake bere garapenean. IN Argibide egokiak argitaratu dira.
Nola egiten du lan
Eskaerak ACMEn HTTPS bidez trukatzen dira JSON mezuak erabiliz. Protokoloarekin lan egiteko, ACME bezeroa instalatu behar duzu xede-nodoan; gako-pare bakarra sortzen du CAra sartzen zaren lehen aldian. Ondoren, bezeroaren eta zerbitzariaren mezu guztiak sinatzeko erabiliko dira.
Lehenengo mezuak domeinuaren jabeari buruzko harremanetarako informazioa dauka. Gako pribatuarekin sinatzen da eta zerbitzariari bidaltzen zaio gako publikoarekin batera. Sinaduraren benetakotasuna egiaztatzen du eta, dena ondo badago, SSL ziurtagiria emateko prozedura hasten du.
Ziurtagiria lortzeko, bezeroak domeinuaren jabea dela frogatu behar dio zerbitzariari. Horretarako, jabearen esku dauden zenbait ekintza egiten ditu. Adibidez, autoritate ziurtagiri-emaile batek token esklusibo bat sor dezake eta bezeroari gunean jartzeko eska diezaioke. Ondoren, CAk web edo DNS kontsulta bat igortzen du token honetatik gakoa berreskuratzeko.
Adibidez, HTTPren kasuan, tokenaren gakoa web zerbitzariak zerbitzatuko duen fitxategi batean jarri behar da. DNS egiaztatzean, ziurtagiri-agintaritzak gako esklusibo bat bilatuko du DNS erregistroko testu-dokumentuan. Dena ondo badago, zerbitzariak bezeroa balioztatu egin dela berresten du eta CAk ziurtagiri bat ematen du.
/flickr/ /
mezu
On IETF, ACME erabilgarria izango da hainbat domeinu-izenekin lan egin behar duten administratzaileentzat. Estandarra horietako bakoitza beharrezko SSLekin lotzen lagunduko du.
Estandarren abantailen artean, adituek ere nabarmentzen dituzte hainbat . SSL ziurtagiriak benetako domeinu-jabeentzat soilik igortzen direla ziurtatu behar dute. Bereziki, luzapen multzo bat erabiltzen da DNS erasoetatik babesteko , eta DoS-en aurka babesteko, estandarrak eskaera indibidualen exekuzio-abiadura mugatzen du - adibidez, HTTP metodorako. . ACME garatzaileak beraiek Segurtasuna hobetzeko, gehitu entropia DNS kontsultei eta exekutatu sareko hainbat puntutatik.
Antzeko irtenbideak
Ziurtagiriak lortzeko protokoloak ere erabiltzen dira ΠΈ .
Lehenengoa Cisco Systems-en garatu zen. Haren helburua X.509 ziurtagiri digitalak emateko prozedura erraztea eta ahalik eta eskalagarriena egitea zen. SCEP baino lehen, prozesu honek sistema-administratzaileen parte-hartze aktiboa behar zuen eta ez zen ondo eskalatu. Gaur egun protokolo hau ohikoenetakoa da.
ESTri dagokionez, PKI bezeroei ziurtagiriak lortzeko aukera ematen die kanal seguruen bidez. TLS erabiltzen du mezuak transferitzeko eta SSL jaulkitzeko, baita CSR bidaltzaileari lotzeko ere. Horrez gain, EST-k kriptografia eliptikoko metodoak onartzen ditu, eta horrek segurtasun-geruza gehigarri bat sortzen du.
On , ACME bezalako irtenbideak hedatu beharko dira. SSL konfigurazio eredu sinplifikatua eta segurua eskaintzen dute eta prozesua bizkortzen dute.
Gure blog korporatiboko mezu gehigarriak:
Iturria: www.habr.com