IETF ceadaithe Timpeallacht Uathoibríoch um Bainistiú Teastas (ACME), rud a chuideoidh le fáil deimhnithe SSL a uathoibriú. Inseoimid duit conas a oibríonn sé.
/flickr/ /
Cén fáth a raibh gá leis an gcaighdeán?
Meán in aghaidh an tsocraithe le haghaidh fearainn, is féidir leis an riarthóir a chaitheamh ó aon go trí huaire an chloig. Má dhéanann tú botún, beidh ort fanacht go dtí go ndiúltófar don iarratas, ach ansin is féidir é a chur isteach arís. Fágann sé seo go léir go mbíonn sé deacair córais mhórscála a imscaradh.
Féadfaidh an nós imeachta bailíochtaithe fearainn do gach údarás deimhniúcháin a bheith difriúil. Uaireanta eascraíonn fadhbanna slándála as easpa caighdeánaithe. Cáiliúil nuair a dheimhnigh CA amháin na fearainn dearbhaithe go léir de bharr fabht sa chóras. I gcásanna den sórt sin, féadfar deimhnithe SSL a eisiúint chuig acmhainní calaoiseacha.
Prótacal ACME ceadaithe ag IETF (sonraíocht (e) an próiseas chun deimhniú a fháil a uathoibriú agus a chaighdeánú. Agus cabhróidh deireadh a chur leis an bhfachtóir daonna le hiontaofacht agus slándáil fhíorú ainm fearainn a mhéadú.
Tá an caighdeán oscailte agus is féidir le duine ar bith cur lena fhorbairt. IN Tá treoracha ábhartha foilsithe.
Conas a oibríonn seo
Déantar iarratais a mhalartú in ACME thar HTTPS ag baint úsáide as teachtaireachtaí JSON. Chun oibriú leis an bprótacal, ní mór duit an cliant ACME a shuiteáil ar an spriocnód; gineann sé eochairphéire uathúil an chéad uair a fhaigheann tú rochtain ar an CA. Ina dhiaidh sin, úsáidfear iad chun gach teachtaireacht ón gcliant agus ón bhfreastalaí a shíniú.
Tá faisnéis teagmhála faoin úinéir fearainn sa chéad teachtaireacht. Sínítear é leis an eochair phríobháideach agus seoltar chuig an bhfreastalaí é in éineacht leis an eochair phoiblí. Fíoraíonn sé barántúlacht an tsínithe agus, má tá gach rud in ord, cuireann sé tús leis an nós imeachta chun deimhniú SSL a eisiúint.
Chun deimhniú a fháil, ní mór don chliant a chruthú don fhreastalaí go bhfuil an fearann aige. Chun seo a dhéanamh, déanann sé gníomhartha áirithe atá ar fáil ach amháin don úinéir. Mar shampla, is féidir le húdarás deimhnithe comhartha uathúil a ghiniúint agus iarraidh ar an gcliant é a chur ar an suíomh. Ansin, eisíonn an CA ceist gréasáin nó DNS chun an eochair a aisghabháil ón chomhartha seo.
Mar shampla, i gcás HTTP, ní mór an eochair ón chomhartha a chur i gcomhad a sheirbheálfaidh an freastalaí gréasáin. Le linn fíorú DNS, lorgóidh an t-údarás deimhniúcháin eochair uathúil i ndoiciméad téacs an taifid DNS. Má tá gach rud go breá, deimhníonn an freastalaí go bhfuil an cliant bailíochtaithe agus eisíonn an CA deimhniú.
/flickr/ /
Tuairimí
Ar Beidh IETF, ACME úsáideach do riarthóirí a chaithfidh oibriú le hainmneacha fearainn iolracha. Cabhróidh an caighdeán le gach ceann acu a nascadh leis na SSLanna riachtanacha.
I measc na buntáistí a bhaineann leis an gcaighdeán, tugann saineolaithe faoi deara go leor freisin . Ní mór dóibh a chinntiú nach n-eisítear deimhnithe SSL ach d’úinéirí fíorfhearainn. Go háirithe, úsáidtear sraith síntí chun cosaint a dhéanamh i gcoinne ionsaithe DNS , agus chun cosaint a dhéanamh i gcoinne DoS, cuireann an caighdeán teorainn le luas forghníomhaithe iarratas aonair - mar shampla, HTTP don mhodh . Forbróirí ACME iad féin Chun slándáil a fheabhsú, cuir eantrópacht le fiosruithe DNS agus déan iad ó phointí iolracha ar an líonra.
Réitigh den chineál céanna
Úsáidtear prótacail freisin chun deimhnithe a fháil и .
Forbraíodh an chéad cheann ag Cisco Systems. Ba é a sprioc an nós imeachta maidir le deimhnithe digiteacha X.509 a eisiúint a shimpliú agus é a dhéanamh chomh inscálaithe agus is féidir. Roimh SCEP, bhí rannpháirtíocht ghníomhach na riarthóirí córais ag teastáil ón bpróiseas seo agus ní raibh scála maith leis. Sa lá atá inniu tá an prótacal seo ar cheann de na cinn is coitianta.
Maidir le EST, ceadaíonn sé do chliaint PKI deimhnithe a fháil thar bhealaí slána. Úsáideann sé TLS le haghaidh aistriú teachtaireachtaí agus eisiúint SSL, chomh maith leis an CSR a cheangal leis an seoltóir. Ina theannta sin, tacaíonn EST le modhanna cripteagrafaíochta éilipseacha, rud a chruthaíonn sraith bhreise slándála.
Ar , beidh gá le réitigh mar ACME a bheith níos forleithne. Cuireann siad múnla socraithe SSL simplithe agus slán ar fáil agus cuireann siad dlús leis an bpróiseas freisin.
Postálacha breise ónár mblag corparáideach:
Foinse: will.com