Approuvé par l'IETF Environnement de gestion automatique des certificats (ACME), qui aidera à automatiser la réception des certificats SSL. Voyons comment cela fonctionne.
/flickr/ /
Pourquoi cette norme était-elle nécessaire ?
Moyenne par paramètre pour un domaine, l'administrateur peut y consacrer de une à trois heures. Si vous faites une erreur, vous devrez attendre que la demande soit rejetée, et ce n'est qu'alors qu'elle pourra être soumise à nouveau. Tout cela rend difficile le déploiement de systèmes à grande échelle.
La procédure de validation de domaine pour chaque autorité de certification peut différer. Le manque de standardisation entraîne parfois des problèmes de sécurité. Célèbre lorsque, en raison d'un bug dans le système, une autorité de certification a vérifié tous les domaines déclarés. Dans de telles situations, des certificats SSL peuvent être émis vers des ressources frauduleuses.
Protocole ACME approuvé par l'IETF (spécification ) devrait automatiser et standardiser le processus d'obtention d'un certificat. Et l’élimination du facteur humain contribuera à accroître la fiabilité et la sécurité de la vérification des noms de domaine.
La norme est ouverte et chacun peut contribuer à son développement. DANS Des instructions pertinentes ont été publiées.
Comment ça marche
Les requêtes sont échangées dans ACME via HTTPS à l'aide de messages JSON. Pour travailler avec le protocole, vous devez installer le client ACME sur le nœud cible ; il génère une paire de clés unique lors du premier accès à l'autorité de certification. Par la suite, ils serviront à signer tous les messages du client et du serveur.
Le premier message contient les informations de contact sur le propriétaire du domaine. Il est signé avec la clé privée et envoyé au serveur avec la clé publique. Il vérifie l'authenticité de la signature et, si tout est en ordre, entame la procédure de délivrance d'un certificat SSL.
Pour obtenir un certificat, le client doit prouver au serveur qu'il est propriétaire du domaine. Pour ce faire, il effectue certaines actions accessibles uniquement au propriétaire. Par exemple, une autorité de certification peut générer un jeton unique et demander au client de le placer sur le site. Ensuite, l'autorité de certification émet une requête Web ou DNS pour récupérer la clé de ce jeton.
Par exemple, dans le cas de HTTP, la clé du jeton doit être placée dans un fichier qui sera servi par le serveur Web. Lors de la vérification DNS, l'autorité de certification recherchera une clé unique dans le document texte de l'enregistrement DNS. Si tout va bien, le serveur confirme que le client a été validé et l'AC délivre un certificat.
/flickr/ /
Avis
Sur IETF, ACME seront utiles aux administrateurs qui doivent travailler avec plusieurs noms de domaine. La norme aidera à relier chacun d’eux aux SSL requis.
Parmi les avantages de la norme, les experts notent également plusieurs . Ils doivent garantir que les certificats SSL sont délivrés uniquement aux véritables propriétaires de domaine. Un ensemble d’extensions est notamment utilisé pour se protéger contre les attaques DNS , et pour se protéger contre le DoS, la norme limite la vitesse d'exécution des requêtes individuelles - par exemple, HTTP pour la méthode . Développeurs ACME eux-mêmes Pour améliorer la sécurité, ajoutez de l'entropie aux requêtes DNS et exécutez-les à partir de plusieurs points du réseau.
Solutions similaires
Les protocoles sont également utilisés pour obtenir des certificats и .
Le premier a été développé chez Cisco Systems. Son objectif était de simplifier la procédure de délivrance des certificats numériques X.509 et de la rendre la plus évolutive possible. Avant SCEP, ce processus nécessitait la participation active des administrateurs système et n’était pas bien évolutif. Aujourd'hui, ce protocole est l'un des plus courants.
Quant à l'EST, il permet aux clients PKI d'obtenir des certificats sur des canaux sécurisés. Il utilise TLS pour le transfert de messages et l'émission SSL, ainsi que pour lier le CSR à l'expéditeur. De plus, EST prend en charge les méthodes de cryptographie elliptique, ce qui crée une couche de sécurité supplémentaire.
Sur , des solutions comme ACME devront se généraliser. Ils offrent un modèle de configuration SSL simplifié et sécurisé et accélèrent également le processus.
Articles supplémentaires de notre blog d'entreprise :
Source: habr.com