IETF:n hyväksymä Automatic Certificate Management Environment (ACME), joka auttaa automatisoimaan SSL-varmenteiden vastaanottamisen. Kerrotaan kuinka se toimii.
/flickr/ /
Miksi standardia tarvittiin?
Keskiarvo asetusta kohden verkkotunnukselle järjestelmänvalvoja voi käyttää yhdestä kolmeen tuntia. Jos teet virheen, joudut odottamaan, kunnes hakemus hylätään, vasta sen jälkeen se voidaan lähettää uudelleen. Kaikki tämä vaikeuttaa suurten järjestelmien käyttöönottoa.
Kunkin varmenteen myöntäjän verkkotunnuksen validointimenettely voi vaihdella. Standardoinnin puute johtaa joskus turvallisuusongelmiin. Kuuluisa kun yksi varmentaja vahvisti kaikki ilmoitetut verkkotunnukset järjestelmän virheen vuoksi. Tällaisissa tilanteissa SSL-varmenteita voidaan myöntää petollisille resursseille.
IETF:n hyväksymä ACME-protokolla (spesifikaatio ) pitäisi automatisoida ja standardoida varmenteen hankintaprosessi. Ja inhimillisen tekijän poistaminen auttaa lisäämään verkkotunnuksen varmentamisen luotettavuutta ja turvallisuutta.
Standardi on avoin ja kuka tahansa voi osallistua sen kehittämiseen. SISÄÄN Asiaan liittyvät ohjeet on julkaistu.
Kuinka tämä toimii
Pyynnöt vaihdetaan ACME:ssä HTTPS:n kautta JSON-viesteillä. Protokollan käyttöä varten sinun on asennettava ACME-asiakasohjelma kohdesolmuun; se luo ainutlaatuisen avainparin, kun käytät CA:ta ensimmäisen kerran. Myöhemmin niitä käytetään kaikkien asiakkaalta ja palvelimelta tulevien viestien allekirjoittamiseen.
Ensimmäinen viesti sisältää verkkotunnuksen omistajan yhteystiedot. Se allekirjoitetaan yksityisellä avaimella ja lähetetään palvelimelle julkisen avaimen mukana. Se tarkistaa allekirjoituksen aitouden ja aloittaa SSL-varmenteen myöntämismenettelyn, jos kaikki on kunnossa.
Varmenteen saamiseksi asiakkaan on todistettava palvelimelle, että hän omistaa toimialueen. Tätä varten hän suorittaa tiettyjä toimintoja, jotka ovat vain omistajan käytettävissä. Varmenteen myöntäjä voi esimerkiksi luoda yksilöllisen tunnuksen ja pyytää asiakasta sijoittamaan sen sivustolle. Seuraavaksi CA lähettää verkko- tai DNS-kyselyn avaimen noutamiseksi tästä tunnuksesta.
Esimerkiksi HTTP:n tapauksessa tunnuksen avain on sijoitettava tiedostoon, jota verkkopalvelin palvelee. DNS-vahvistuksen aikana varmentaja etsii ainutlaatuista avainta DNS-tietueen tekstiasiakirjasta. Jos kaikki on kunnossa, palvelin vahvistaa, että asiakas on varmennettu ja CA myöntää varmenteen.
/flickr/ /
mielipiteitä
Päälle IETF, ACME ovat hyödyllisiä järjestelmänvalvojille, jotka joutuvat työskentelemään useiden verkkotunnusten kanssa. Standardi auttaa yhdistämään ne kaikki vaadittuihin SSL-sovelluksiin.
Asiantuntijat mainitsevat myös useita standardin etuja . Heidän on varmistettava, että SSL-varmenteita myönnetään vain aidoille verkkotunnuksen omistajille. Erityisesti sarjaa laajennuksia käytetään suojaamaan DNS-hyökkäyksiä vastaan , ja suojautuakseen DoS:ltä standardi rajoittaa yksittäisten pyyntöjen suoritusnopeutta - esimerkiksi HTTP menetelmälle . ACME-kehittäjät itse Turvallisuuden parantamiseksi lisää entropiaa DNS-kyselyihin ja suorita ne useista verkon kohdista.
Samanlaisia ratkaisuja
Protokollia käytetään myös varmenteiden hankkimiseen и .
Ensimmäinen kehitettiin Cisco Systemsissä. Sen tavoitteena oli yksinkertaistaa digitaalisten X.509-sertifikaattien myöntämismenettelyä ja tehdä siitä mahdollisimman skaalautuva. Ennen SCEP:tä tämä prosessi vaati järjestelmänvalvojien aktiivista osallistumista, eikä se skaalautunut hyvin. Nykyään tämä protokolla on yksi yleisimmistä.
Mitä tulee EST:ään, sen avulla PKI-asiakkaat voivat hankkia varmenteita suojattujen kanavien kautta. Se käyttää TLS:ää viestien siirtoon ja SSL:n myöntämiseen sekä CSR:n sitomiseen lähettäjään. Lisäksi EST tukee elliptisiä salausmenetelmiä, mikä luo ylimääräisen suojakerroksen.
Päälle ACME:n kaltaisten ratkaisujen on yleistettävä. Ne tarjoavat yksinkertaistetun ja turvallisen SSL-asennusmallin ja myös nopeuttavat prosessia.
Lisää postauksia yritysblogistamme:
Lähde: will.com