Aprobado por IETF Entorno de xestión automática de certificados (ACME), que axudará a automatizar a recepción de certificados SSL. Contámosche como funciona.
/flickr/ /
Por que era necesario o estándar?
Media por configuración para un dominio, o administrador pode pasar de unha a tres horas. Se cometes un erro, terás que agardar ata que a solicitude sexa rexeitada, só entón poderás presentarse de novo. Todo isto dificulta a implantación de sistemas a gran escala.
O procedemento de validación do dominio para cada autoridade de certificación pode diferir. A falta de estandarización ás veces leva a problemas de seguridade. Famoso cando, debido a un erro no sistema, unha CA verificou todos os dominios declarados. En tales situacións, pódense emitir certificados SSL a recursos fraudulentos.
Protocolo ACME aprobado por IETF (especificación ) debería automatizar e normalizar o proceso de obtención dun certificado. E eliminar o factor humano axudará a aumentar a fiabilidade e a seguridade da verificación do nome de dominio.
O estándar é aberto e calquera pode contribuír ao seu desenvolvemento. EN Publicáronse as instrucións pertinentes.
Chat isto
As solicitudes intercámbianse en ACME a través de HTTPS mediante mensaxes JSON. Para traballar co protocolo, cómpre instalar o cliente ACME no nodo de destino; xera un par de claves único a primeira vez que accede á CA. Posteriormente, utilizaranse para asinar todas as mensaxes do cliente e do servidor.
A primeira mensaxe contén información de contacto sobre o propietario do dominio. Asínase coa clave privada e envíase ao servidor xunto coa clave pública. Verifica a autenticidade da sinatura e, se todo está en orde, inicia o procedemento para emitir un certificado SSL.
Para obter un certificado, o cliente debe demostrar ao servidor que é propietario do dominio. Para iso, realiza determinadas accións dispoñibles só para o propietario. Por exemplo, unha autoridade de certificación pode xerar un token único e pedirlle ao cliente que o poña no sitio. A continuación, a CA emite unha consulta web ou DNS para recuperar a clave deste token.
Por exemplo, no caso de HTTP, a clave do token debe colocarse nun ficheiro que será servido polo servidor web. Durante a verificación do DNS, a autoridade de certificación buscará unha clave única no documento de texto do rexistro DNS. Se todo está ben, o servidor confirma que o cliente foi validado e a CA emite un certificado.
/flickr/ /
Opinións
En IETF, ACME será útil para administradores que teñan que traballar con varios nomes de dominio. O estándar axudará a vincular cada un deles aos SSL necesarios.
Entre as vantaxes do estándar, os expertos tamén sinalan varias . Deben asegurarse de que os certificados SSL se emitan só para propietarios de dominios xenuínos. En particular, úsase un conxunto de extensións para protexerse contra ataques DNS , e para protexerse contra DoS, o estándar limita a velocidade de execución de solicitudes individuais, por exemplo, HTTP para o método . Os propios desenvolvedores de ACME Para mellorar a seguridade, engade entropía ás consultas DNS e execútaas desde varios puntos da rede.
Solucións semellantes
Tamén se utilizan protocolos para obter certificados и .
O primeiro foi desenvolvido en Cisco Systems. O seu obxectivo era simplificar o procedemento de emisión de certificados dixitais X.509 e facelo o máis escalable posible. Antes de SCEP, este proceso requiría a participación activa dos administradores do sistema e non escalaba ben. Hoxe este protocolo é un dos máis habituais.
En canto a EST, permite aos clientes PKI obter certificados por canles seguras. Usa TLS para a transferencia de mensaxes e a emisión de SSL, así como para vincular o CSR ao remitente. Ademais, EST admite métodos de criptografía elíptica, o que crea unha capa adicional de seguridade.
En , solucións como ACME terán que estenderse máis. Ofrecen un modelo de configuración SSL simplificado e seguro e tamén aceleran o proceso.
Publicacións adicionais do noso blog corporativo:
Fonte: www.habr.com