Odobren od IETF-a Automatic Certificate Management Environment (ACME), koji će pomoći automatizirati primanje SSL certifikata. Recimo vam kako to radi.
/flickr/ /
Zašto je bio potreban standard?
Prosjek po postavci za domenu administrator može potrošiti od jednog do tri sata. Ako pogriješite, morat ćete pričekati dok zahtjev ne bude odbijen, tek nakon toga možete ga ponovno predati. Sve to otežava implementaciju velikih sustava.
Postupak provjere valjanosti domene može se razlikovati za svako certifikacijsko tijelo. Nedostatak standardizacije ponekad dovodi do sigurnosnih problema. Poznati kada je zbog greške u sustavu jedan CA verificirao sve deklarirane domene. U takvim situacijama, SSL certifikati mogu se izdati lažnim resursima.
ACME protokol koji je odobrio IETF (specifikacija ) treba automatizirati i standardizirati proces dobivanja certifikata. A uklanjanje ljudskog faktora pomoći će povećati pouzdanost i sigurnost provjere naziva domene.
Standard je otvoren i svatko može doprinijeti njegovom razvoju. U upute su objavljene.
Kako ovo radi
Zahtjevi u ACME-u razmjenjuju se putem HTTPS-a pomoću JSON poruka. Za rad s protokolom morate instalirati ACME klijent na ciljni čvor; on generira jedinstveni par ključeva prvi put kada pristupi CA-u. Naknadno će se koristiti za potpisivanje svih poruka klijenta i poslužitelja.
Prva poruka sadrži kontakt podatke o vlasniku domene. Potpisuje se privatnim ključem i šalje na poslužitelj zajedno s javnim ključem. Provjerava vjerodostojnost potpisa i, ako je sve u redu, pokreće proceduru za izdavanje SSL certifikata.
Da bi dobio certifikat, klijent mora dokazati poslužitelju da posjeduje domenu. Da bi to učinio, izvodi određene radnje koje su dostupne samo vlasniku. Na primjer, tijelo za izdavanje certifikata može generirati jedinstveni token i zatražiti od klijenta da ga postavi na web mjesto. Zatim, CA izdaje web ili DNS upit za izdvajanje ključa iz ovog tokena.
Na primjer, u slučaju HTTP-a, ključ iz tokena mora biti smješten u datoteku koju će posluživati web poslužitelj. Tijekom DNS provjere, certifikacijsko tijelo će tražiti jedinstveni ključ u tekstualnom dokumentu DNS zapisa. Ako je sve u redu, poslužitelj potvrđuje da je klijent provjeren i CA izdaje certifikat.
/flickr/ /
mišljenje
Na IETF, ACME bit će korisni za administratore koji moraju raditi s više naziva domena. Standard će pomoći da se svaki od njih poveže sa željenim SSL-om.
Među prednostima standarda, stručnjaci također primjećuju nekoliko . Oni moraju osigurati da se SSL certifikati izdaju samo stvarnim podnositeljima registracije. Konkretno, skup ekstenzija koristi se za zaštitu od DNS napada. , a za zaštitu od DoS-a, standard ograničava brzinu izvršavanja pojedinačnih zahtjeva - na primjer, HTTP za metodu . Sami ACME programeri za povećanje sigurnosti dodajte entropiju DNS upitima i izvršavajte ih s nekoliko točaka u mreži.
Slična rješenja
Protokoli se također koriste za dobivanje certifikata. и .
Prvi je razvio Cisco Systems. Cilj mu je bio pojednostaviti proceduru izdavanja X.509 digitalnih certifikata i učiniti je što skalabilnijom. Prije pojave SCEP-a, ovaj proces zahtijevao je aktivno sudjelovanje administratora sustava i nije se dobro skalirao. Danas je ovaj protokol jedan od najčešćih.
Što se tiče EST-a, on omogućuje PKI klijentima dobivanje certifikata preko sigurnih kanala. Koristi TLS za slanje poruka i izdavanje SSL-a, kao i za vezanje CSR-a za pošiljatelja. Osim toga, EST podržava metode eliptičke kriptografije, što stvara dodatni sloj zaštite.
Na , rješenja poput ACME-a morat će se šire usvojiti. Oni nude pojednostavljen i siguran model postavljanja SSL-a i također ubrzavaju proces.
Dodatne objave s našeg korporativnog bloga:
Izvor: www.habr.com