IETF મંજૂર ACME - આ SSL પ્રમાણપત્રો સાથે કામ કરવા માટેનું માનક છે

IETF મંજૂર માનક ઓટોમેટિક સર્ટિફિકેટ મેનેજમેન્ટ એન્વાયર્નમેન્ટ (ACME), જે SSL પ્રમાણપત્રોની રસીદને સ્વચાલિત કરવામાં મદદ કરશે. ચાલો તમને જણાવીએ કે તે કેવી રીતે કામ કરે છે.

/ફ્લિકર/ ક્લિફ જોહ્ન્સન / સીસી બાય-એસએ

શા માટે ધોરણની જરૂર હતી?

સેટિંગ દીઠ સરેરાશ SSL પ્રમાણપત્ર ડોમેન માટે, એડમિનિસ્ટ્રેટર એક થી ત્રણ કલાક સુધીનો સમય પસાર કરી શકે છે. જો તમે ભૂલ કરો છો, તો તમારે અરજી નકારવામાં આવે ત્યાં સુધી રાહ જોવી પડશે, તો જ તેને ફરીથી સબમિટ કરી શકાશે. આ તમામ મોટા પાયે સિસ્ટમો જમાવવાનું મુશ્કેલ બનાવે છે.

દરેક સર્ટિફિકેશન ઓથોરિટી માટે ડોમેન માન્યતા પ્રક્રિયા અલગ હોઈ શકે છે. માનકીકરણનો અભાવ કેટલીકવાર સુરક્ષા સમસ્યાઓ તરફ દોરી જાય છે. પ્રખ્યાત કેસજ્યારે, સિસ્ટમમાં બગને કારણે, એક CA એ તમામ ઘોષિત ડોમેન્સ ચકાસ્યા. આવી પરિસ્થિતિઓમાં, SSL પ્રમાણપત્રો કપટી સંસાધનોને જારી કરવામાં આવી શકે છે.

IETF મંજૂર ACME પ્રોટોકોલ (વિશિષ્ટતા આરએફસી 8555) પ્રમાણપત્ર મેળવવાની પ્રક્રિયાને સ્વચાલિત અને પ્રમાણભૂત બનાવવી જોઈએ. અને માનવ પરિબળને દૂર કરવાથી ડોમેન નામની ચકાસણીની વિશ્વસનીયતા અને સુરક્ષા વધારવામાં મદદ મળશે.

ધોરણ ખુલ્લું છે અને કોઈપણ તેના વિકાસમાં યોગદાન આપી શકે છે. IN GitHub પર રીપોઝીટરીઝ સંબંધિત સૂચનાઓ પ્રકાશિત કરવામાં આવી છે.

આ કેવી રીતે કામ કરે છે

JSON સંદેશાઓનો ઉપયોગ કરીને HTTPS પર ACME માં વિનંતીઓની આપ-લે કરવામાં આવે છે. પ્રોટોકોલ સાથે કામ કરવા માટે, તમારે લક્ષ્ય નોડ પર ACME ક્લાયંટ ઇન્સ્ટોલ કરવાની જરૂર છે; જ્યારે તમે પહેલીવાર CA ઍક્સેસ કરો ત્યારે તે એક અનન્ય કી જોડી જનરેટ કરે છે. ત્યારબાદ, તેનો ઉપયોગ ક્લાયંટ અને સર્વરના તમામ સંદેશાઓ પર સહી કરવા માટે કરવામાં આવશે.

પ્રથમ સંદેશમાં ડોમેન માલિક વિશેની સંપર્ક માહિતી શામેલ છે. તે ખાનગી કી વડે સહી થયેલ છે અને સર્વર પર સાર્વજનિક કી સાથે મોકલવામાં આવે છે. તે સહીની અધિકૃતતાની ચકાસણી કરે છે અને, જો બધું વ્યવસ્થિત હોય, તો SSL પ્રમાણપત્ર જારી કરવાની પ્રક્રિયા શરૂ કરે છે.

પ્રમાણપત્ર મેળવવા માટે, ક્લાયંટે સર્વરને સાબિત કરવું આવશ્યક છે કે તે ડોમેનનો માલિક છે. આ કરવા માટે, તે ફક્ત માલિક માટે ઉપલબ્ધ અમુક ક્રિયાઓ કરે છે. ઉદાહરણ તરીકે, સર્ટિફિકેટ ઓથોરિટી અનન્ય ટોકન જનરેટ કરી શકે છે અને ક્લાયન્ટને તેને સાઇટ પર મૂકવા માટે કહી શકે છે. આગળ, આ ટોકનમાંથી કી પુનઃપ્રાપ્ત કરવા માટે CA વેબ અથવા DNS ક્વેરી રજૂ કરે છે.

ઉદાહરણ તરીકે, HTTP ના કિસ્સામાં, ટોકનમાંથી કી એવી ફાઇલમાં મૂકવી આવશ્યક છે જે વેબ સર્વર દ્વારા સેવા આપવામાં આવશે. DNS ચકાસણી દરમિયાન, પ્રમાણપત્ર અધિકારી DNS રેકોર્ડના ટેક્સ્ટ દસ્તાવેજમાં અનન્ય કી શોધશે. જો બધું બરાબર હોય, તો સર્વર પુષ્ટિ કરે છે કે ક્લાયંટ માન્ય કરવામાં આવ્યું છે અને CA પ્રમાણપત્ર જારી કરે છે.

/ફ્લિકર/ બ્લોન્ડિનરીકાર્ડ ફ્રોબર્ગ / સીસી દ્વારા

ઓપિનિયન

દ્વારા અનુસાર IETF, ACME એવા એડમિનિસ્ટ્રેટર્સ માટે ઉપયોગી થશે જેમને બહુવિધ ડોમેન નામો સાથે કામ કરવું છે. ધોરણ તેમને દરેકને જરૂરી SSL સાથે લિંક કરવામાં મદદ કરશે.

ધોરણના ફાયદાઓમાં, નિષ્ણાતો પણ ઘણાને નોંધે છે સુરક્ષા પદ્ધતિઓ. તેઓએ ખાતરી કરવી આવશ્યક છે કે SSL પ્રમાણપત્રો ફક્ત વાસ્તવિક ડોમેન માલિકોને જ આપવામાં આવે છે. ખાસ કરીને, એક્સ્ટેંશનનો સમૂહ DNS હુમલાઓ સામે રક્ષણ આપવા માટે વપરાય છે DNSSEC, અને DoS સામે રક્ષણ આપવા માટે, માનક વ્યક્તિગત વિનંતીઓના અમલની ઝડપને મર્યાદિત કરે છે - ઉદાહરણ તરીકે, પદ્ધતિ માટે HTTP પોસ્ટ. ACME વિકાસકર્તાઓ પોતે ભલામણ સુરક્ષાને બહેતર બનાવવા માટે, DNS ક્વેરીઝમાં એન્ટ્રોપી ઉમેરો અને તેને નેટવર્ક પરના બહુવિધ બિંદુઓથી એક્ઝિક્યુટ કરો.

સમાન ઉકેલો

પ્રમાણપત્રો મેળવવા માટે પણ પ્રોટોકોલનો ઉપયોગ કરવામાં આવે છે એસસીઇપી и EST.

પ્રથમ સિસ્કો સિસ્ટમ્સમાં વિકસાવવામાં આવી હતી. તેનો ધ્યેય X.509 ડિજિટલ પ્રમાણપત્રો જારી કરવાની પ્રક્રિયાને સરળ બનાવવા અને તેને શક્ય તેટલું સ્કેલેબલ બનાવવાનો હતો. SCEP પહેલાં, આ પ્રક્રિયામાં સિસ્ટમ એડમિનિસ્ટ્રેટર્સની સક્રિય ભાગીદારીની આવશ્યકતા હતી અને સારી રીતે માપવામાં આવી ન હતી. આજે આ પ્રોટોકોલ સૌથી સામાન્ય છે.

EST માટે, તે PKI ક્લાયંટને સુરક્ષિત ચેનલો પર પ્રમાણપત્રો મેળવવાની મંજૂરી આપે છે. તે સંદેશ ટ્રાન્સફર અને SSL જારી કરવા તેમજ CSR ને પ્રેષક સાથે જોડવા માટે TLS નો ઉપયોગ કરે છે. વધુમાં, EST એ એલિપ્ટિક ક્રિપ્ટોગ્રાફી પદ્ધતિઓને સપોર્ટ કરે છે, જે સુરક્ષાના વધારાના સ્તરને બનાવે છે.

દ્વારા નિષ્ણાત અભિપ્રાય, ACME જેવા ઉકેલો વધુ વ્યાપક બનવાની જરૂર પડશે. તેઓ એક સરળ અને સુરક્ષિત SSL સેટઅપ મોડલ ઓફર કરે છે અને પ્રક્રિયાને ઝડપી બનાવે છે.

અમારા કોર્પોરેટ બ્લોગમાંથી વધારાની પોસ્ટ્સ:

• સંસ્થાના આઈટી ઈન્ફ્રાસ્ટ્રક્ચર માટેના વિકલ્પો
• ફાઇલોનો બેકઅપ લેવો: ડેટાના નુકસાનથી તમારી જાતને કેવી રીતે સુરક્ષિત કરવી
• એડમિનિસ્ટ્રેટર્સ માટે તાલીમ સ્ટેન્ડ: ક્લાઉડ કેવી રીતે મદદ કરી શકે છે
• ક્લાઉડ આર્કિટેક્ચર 1 ક્લાઉડનું ઉત્ક્રાંતિ

સોર્સ: www.habr.com