IETF goedkard Automatic Certificate Management Environment (ACME), dy't sil helpe om de ûntfangst fan SSL-sertifikaten te automatisearjen. Litte wy jo fertelle hoe't it wurket.
/flickr/ /
Wêrom wie de standert nedich?
Gemiddeld per ynstelling foar in domein kin de behearder fan ien oant trije oeren besteegje. As jo in flater meitsje, moatte jo wachtsje oant de oanfraach ôfwiisd wurdt, wêrnei't it wer yntsjinne wurde kin. Dit alles makket it lestich om grutskalige systemen yn te setten.
De domeinvalidaasjeproseduere foar elke sertifikaasjeautoriteit kin ferskille. Gebrek oan standerdisearring liedt soms ta feiligensproblemen. Ferneamd doe't, troch in brek yn it systeem, ien CA ferifiearre alle ferklearre domeinen. Yn sokke situaasjes kinne SSL-sertifikaten wurde útjûn oan frauduleuze boarnen.
IETF goedkard ACME-protokol (spesifikaasje ) moat it proses foar it heljen fan in sertifikaat automatisearje en standerdisearje. En it eliminearjen fan 'e minsklike faktor sil helpe om de betrouberens en feiligens fan domeinnammeferifikaasje te ferheegjen.
De standert is iepen en elkenien kin bydrage oan de ûntwikkeling. YN Relevante ynstruksjes binne publisearre.
Hoe docht dit wurk
Oanfragen wurde útwiksele yn ACME oer HTTPS mei JSON-berjochten. Om mei it protokol te wurkjen, moatte jo de ACME-kliïnt op it doelknooppunt ynstallearje; it genereart in unyk kaaipaar de earste kear dat jo tagong krije ta de CA. Dêrnei sille se brûkt wurde om alle berjochten fan 'e kliïnt en tsjinner te ûndertekenjen.
It earste berjocht befettet kontaktynformaasje oer de domeineigner. It wurdt tekene mei de privee kaai en stjoerd nei de tsjinner tegearre mei de iepenbiere kaai. It ferifiearret de autentisiteit fan 'e hantekening en, as alles yn oarder is, begjint de proseduere foar it útjaan fan in SSL-sertifikaat.
Om in sertifikaat te krijen, moat de kliïnt oan de tsjinner bewize dat hy it domein hat. Om dit te dwaan, hy fiert bepaalde aksjes beskikber allinne foar de eigner. Bygelyks, in sertifikaatautoriteit kin in unyk token generearje en de kliïnt freegje om it op 'e side te pleatsen. Dêrnei jout de CA in web- of DNS-fraach út om de kaai fan dizze token te heljen.
Bygelyks, yn it gefal fan HTTP, moat de kaai fan 'e token yn in bestân pleatst wurde dy't troch de webserver betsjinne wurde. Tidens DNS-ferifikaasje sil de sertifisearringsautoriteit in unike kaai sykje yn it tekstdokumint fan it DNS-record. As alles goed is, befêstiget de tsjinner dat de kliïnt is falidearre en de CA jout in sertifikaat út.
/flickr/ /
Opinyen
By IETF, ACME sil nuttich wêze foar behearders dy't moatte wurkje mei meardere domeinnammen. De standert sil helpe om elk fan har te keppeljen oan de fereaske SSL's.
Under de foardielen fan 'e standert notearje saakkundigen ek ferskate . Se moatte derfoar soargje dat SSL-sertifikaten allinich wurde útjûn oan echte domeineigners. Benammen wurdt in set fan útwreidingen brûkt om te beskermjen tsjin DNS-oanfallen , en om te beskermjen tsjin DoS, beheint de standert de snelheid fan útfiering fan yndividuele oanfragen - bygelyks HTTP foar de metoade . ACME ûntwikkelers sels Om feiligens te ferbetterjen, foegje entropy ta oan DNS-fragen en útfiere se fan meardere punten op it netwurk.
Similar oplossings
Protokollen wurde ek brûkt om sertifikaten te krijen и .
De earste waard ûntwikkele by Cisco Systems. It doel wie om de proseduere foar it útjaan fan X.509 digitale sertifikaten te ferienfâldigjen en it sa skalberber mooglik te meitsjen. Foardat SCEP easke dit proses de aktive dielname fan systeembehearders en skaalde net goed. Hjoed dit protokol is ien fan de meast foarkommende.
Wat EST oangiet, lit it PKI-kliïnten sertifikaten krije oer feilige kanalen. It brûkt TLS foar berjochtoerdracht en SSL-útjefte, en ek om de CSR te binen oan de stjoerder. Derneist stipet EST elliptyske kryptografymetoaden, dy't in ekstra laach fan feiligens makket.
By , oplossings lykas ACME sille wiidferspraat wurde moatte. Se biede in ferienfâldige en feilige SSL-opsetmodel en fersnelle ek it proses.
Oanfoljende berjochten fan ús bedriuwsblog:
Boarne: www.habr.com