ProHoster > وبلاگ > اداره > IETF تایید ACME - این یک استاندارد برای کار با گواهینامه های SSL است

IETF تایید ACME - این یک استاندارد برای کار با گواهینامه های SSL است

IETF تایید شد استاندارد محیط مدیریت گواهی خودکار (ACME)، که به دریافت خودکار گواهی‌های SSL کمک می‌کند. بیایید به شما بگوییم که چگونه کار می کند.

IETF تایید ACME - این یک استاندارد برای کار با گواهینامه های SSL است
/flickr/ کلیف جانسون / CC BY-SA

چرا استاندارد مورد نیاز بود؟

میانگین در هر تنظیم گواهی SSL برای یک دامنه، مدیر می تواند از یک تا سه ساعت وقت بگذارد. اگر اشتباه کردید، باید منتظر بمانید تا درخواست رد شود، فقط پس از آن می توانید دوباره ارسال کنید. همه اینها استقرار سیستم های در مقیاس بزرگ را دشوار می کند.

رویه اعتبارسنجی دامنه برای هر مرجع صدور گواهی ممکن است متفاوت باشد. عدم استانداردسازی گاهی اوقات منجر به مشکلات امنیتی می شود. معروف اتفاق می افتدهنگامی که به دلیل وجود یک اشکال در سیستم، یک CA همه دامنه های اعلام شده را تأیید کرد. در چنین شرایطی، گواهینامه های SSL ممکن است برای منابع تقلبی صادر شود.

IETF پروتکل ACME (مشخصات RFC8555) باید فرآیند اخذ گواهی را خودکار و استاندارد کند. و حذف عامل انسانی به افزایش قابلیت اطمینان و امنیت تأیید نام دامنه کمک می کند.

استاندارد باز است و هر کسی می تواند در توسعه آن مشارکت کند. که در مخازن در GitHub دستورالعمل های مربوطه منتشر شده است.

چطور کار می کند؟

درخواست ها در ACME از طریق HTTPS با استفاده از پیام های JSON رد و بدل می شوند. برای کار با پروتکل، باید کلاینت ACME را روی گره هدف نصب کنید؛ این برنامه در اولین باری که به CA دسترسی پیدا می‌کنید، یک جفت کلید منحصربفرد ایجاد می‌کند. متعاقباً از آنها برای امضای همه پیام‌های مشتری و سرور استفاده می‌شود.

اولین پیام حاوی اطلاعات تماس مالک دامنه است. با کلید خصوصی امضا شده و همراه با کلید عمومی به سرور ارسال می شود. صحت امضا را تأیید می کند و اگر همه چیز درست باشد، روند صدور گواهی SSL را آغاز می کند.

برای دریافت گواهی، مشتری باید به سرور ثابت کند که مالک دامنه است. برای انجام این کار، او اقدامات خاصی را انجام می دهد که فقط در اختیار مالک است. به عنوان مثال، یک مرجع گواهی می تواند یک توکن منحصر به فرد ایجاد کند و از مشتری بخواهد آن را در سایت قرار دهد. سپس، CA یک جستجوی وب یا DNS برای بازیابی کلید از این توکن صادر می کند.

به عنوان مثال، در مورد HTTP، کلید از توکن باید در فایلی قرار گیرد که توسط وب سرور ارائه می شود. در طول تأیید DNS، مرجع صدور گواهینامه به دنبال یک کلید منحصر به فرد در سند متنی رکورد DNS خواهد بود. اگر همه چیز خوب باشد، سرور تأیید می کند که کلاینت تأیید شده است و CA گواهی صادر می کند.

IETF تایید ACME - این یک استاندارد برای کار با گواهینامه های SSL است
/flickr/ بلوندینریکارد فروبرگ / CC BY

نظرات

بر طبق IETF، ACME برای مدیرانی که باید با چندین نام دامنه کار کنند مفید خواهد بود. این استاندارد به پیوند هر یک از آنها به SSL های مورد نیاز کمک می کند.

در میان مزایای استاندارد، کارشناسان چندین مورد را نیز ذکر می کنند مکانیسم های امنیتی. آنها باید اطمینان حاصل کنند که گواهینامه های SSL فقط برای صاحبان دامنه واقعی صادر می شود. به طور خاص، مجموعه ای از برنامه های افزودنی برای محافظت در برابر حملات DNS استفاده می شود DNSSECو برای محافظت در برابر DoS، استاندارد سرعت اجرای درخواست های فردی را محدود می کند - به عنوان مثال، HTTP برای روش پست. خود توسعه دهندگان ACME توصیه برای بهبود امنیت، آنتروپی را به کوئری های DNS اضافه کنید و آنها را از چندین نقطه در شبکه اجرا کنید.

راه حل های مشابه

از پروتکل ها نیز برای دریافت گواهی ها استفاده می شود SCEP и EST.

اولین مورد در سیسکو سیستمز توسعه یافت. هدف آن ساده‌سازی روند صدور گواهی‌های دیجیتال X.509 و مقیاس‌پذیر کردن آن تا حد امکان بود. قبل از SCEP، این فرآیند نیاز به مشارکت فعال مدیران سیستم داشت و مقیاس خوبی نداشت. امروزه این پروتکل یکی از رایج ترین پروتکل ها است.

در مورد EST، به مشتریان PKI اجازه می دهد تا گواهینامه ها را از طریق کانال های امن دریافت کنند. از TLS برای انتقال پیام و صدور SSL و همچنین برای اتصال CSR به فرستنده استفاده می کند. علاوه بر این، EST از روش های رمزنگاری بیضوی پشتیبانی می کند که یک لایه امنیتی اضافی ایجاد می کند.

بر نظر متخصص، راه حل هایی مانند ACME باید گسترده تر شوند. آنها یک مدل راه اندازی SSL ساده و ایمن ارائه می دهند و همچنین روند را سرعت می بخشند.

پست های اضافی از وبلاگ شرکت ما:

منبع: www.habr.com

اضافه کردن نظر