IETF air aontachadh Àrainneachd Riaghlaidh Teisteanas fèin-ghluasadach (ACME), a chuidicheas le bhith a’ faighinn teisteanasan SSL gu fèin-ghluasadach. Innsidh sinn dhut mar a tha e ag obair.
/flickr/ /
Carson a bha feum air an inbhe?
Cuibheasach a rèir suidheachadh airson àrainn, faodaidh an rianadair a chaitheamh bho aon gu trì uairean a thìde. Ma nì thu mearachd, bidh agad ri feitheamh gus an tèid an t-iarrtas a dhiùltadh, is ann dìreach an uairsin as urrainnear a chuir a-steach a-rithist. Tha seo uile ga dhèanamh duilich siostaman mòra a chleachdadh.
Faodaidh am modh dearbhaidh fearainn airson gach ùghdarras teisteanais a bhith eadar-dhealaichte. Bidh dìth cunbhalachaidh uaireannan a’ leantainn gu duilgheadasan tèarainteachd. ainmeil nuair, mar thoradh air bug san t-siostam, dhearbh aon CA a h-uile raon ainmichte. Ann an leithid de shuidheachaidhean, faodar teisteanasan SSL a chuir a-mach gu goireasan meallta.
Pròtacal ACME aontaichte le IETF (sònrachadh ) bu chòir dhaibh fèin-ghluasad agus cunbhalachd a dhèanamh air a’ phròiseas airson teisteanas fhaighinn. Agus cuidichidh cuir às don fhactar daonna le bhith ag àrdachadh earbsachd agus tèarainteachd dearbhadh ainm fearainn.
Tha an inbhe fosgailte agus faodaidh duine sam bith cur ri leasachadh. ANNS Tha stiùireadh buntainneach air fhoillseachadh.
Ciamar a tha an obair seo
Bidh iarrtasan air an iomlaid ann an ACME thairis air HTTPS a’ cleachdadh teachdaireachdan JSON. Gus obrachadh leis a’ phròtacal, feumaidh tu an teachdaiche ACME a chuir a-steach air an nód targaid; bidh e a’ gineadh prìomh phaidhir sònraichte a’ chiad uair a gheibh thu cothrom air an CA. Às deidh sin, thèid an cleachdadh gus a h-uile teachdaireachd bhon neach-dèiligidh agus bhon fhrithealaiche a shoidhnigeadh.
Anns a’ chiad teachdaireachd tha fiosrachadh conaltraidh mu neach-seilbh an fhearainn. Tha e air a shoidhnigeadh leis an iuchair phrìobhaideach agus air a chuir chun fhrithealaiche còmhla ris an iuchair phoblach. Bidh e a’ dearbhadh dearbhteachd an ainm-sgrìobhte agus, ma tha a h-uile càil ann an òrdugh, a’ tòiseachadh air a’ mhodh-obrach airson teisteanas SSL a thoirt seachad.
Gus teisteanas fhaighinn, feumaidh an neach-dèiligidh dearbhadh don fhrithealaiche gur ann leis a tha an àrainn. Gus seo a dhèanamh, bidh e a 'coileanadh cuid de ghnìomhan a tha rim faotainn a-mhàin don neach-seilbh. Mar eisimpleir, faodaidh ùghdarras teisteanais comharra sònraichte a ghineadh agus iarraidh air an neach-dèiligidh a chuir air an làrach. An uairsin, bidh an CA a’ cur a-mach ceist lìn no DNS gus an iuchair fhaighinn bhon tòcan seo.
Mar eisimpleir, a thaobh HTTP, feumaidh an iuchair bhon tòcan a bhith air a chuir ann am faidhle a thèid a fhrithealadh leis an t-seirbheisiche lìn. Rè dearbhadh DNS, bidh an t-ùghdarras teisteanais a’ coimhead airson iuchair shònraichte ann an sgrìobhainn teacsa a’ chlàir DNS. Ma tha a h-uile càil ceart gu leòr, bidh am frithealaiche a’ dearbhadh gun deach an neach-dèiligidh a dhearbhadh agus bidh an CA a’ toirt seachad teisteanas.
/flickr/ /
Beachdan
Le Bidh IETF, ACME feumail do luchd-rianachd a dh'fheumas a bhith ag obair le iomadh ainm àrainn. Cuidichidh an inbhe gach fear dhiubh a cheangal ris na SSLn a tha a dhìth.
Am measg buannachdan an inbhe, tha eòlaichean cuideachd a 'toirt fa-near grunn . Feumaidh iad dèanamh cinnteach nach tèid teisteanasan SSL a thoirt seachad ach gu fìor shealbhadairean fearainn. Gu sònraichte, tha seata de leudachaidhean air a chleachdadh gus dìon an aghaidh ionnsaighean DNS , agus gus dìon an aghaidh DoS, tha an inbhe a’ cuingealachadh astar cur an gnìomh iarrtasan fa leth - mar eisimpleir, HTTP airson an dòigh . Luchd-leasachaidh ACME iad fhèin Gus tèarainteachd a leasachadh, cuir entropy ri ceistean DNS agus cuir an gnìomh iad bho iomadh puing air an lìonra.
Fuasglaidhean coltach ris
Bidh protocols cuideachd air an cleachdadh gus teisteanasan fhaighinn и .
Chaidh a 'chiad fhear a leasachadh aig Cisco Systems. B’ e an t-amas aige am modh-obrach airson teisteanasan didseatach X.509 a thoirt a-mach a dhèanamh nas sìmplidhe agus a dhèanamh cho scalable sa ghabhas. Ro SCEP, bha feum aig a’ phròiseas seo air com-pàirt gnìomhach luchd-rianachd an t-siostaim agus cha do rinn e sgèile math. An-diugh tha am protocol seo mar aon den fheadhainn as cumanta.
A thaobh EST, leigidh e le teachdaichean PKI teisteanasan fhaighinn thairis air seanalan tèarainte. Bidh e a’ cleachdadh TLS airson gluasad teachdaireachd agus cur a-mach SSL, a bharrachd air an CSR a cheangal ris an neach a chuir e. A bharrachd air an sin, tha EST a’ toirt taic do dhòighean crioptachaidh elliptic, a chruthaicheas sreath a bharrachd de thèarainteachd.
Le , feumaidh fuasglaidhean leithid ACME a bhith nas fharsainge. Bidh iad a’ tabhann modal rèiteachaidh SSL nas sìmplidhe agus tèarainte agus cuideachd a ’luathachadh a’ phròiseas.
Postan a bharrachd bhon bhlog corporra againn:
Source: www.habr.com