IETF apwouve Anviwònman Jesyon Sètifika Otomatik (ACME), ki pral ede otomatize resevwa sètifika SSL yo. Ann di w kijan li fonksyone.
/flickr/ /
Poukisa estanda a te nesesè?
Mwayèn pou chak anviwònman pou yon domèn, administratè a ka pase de youn a twa èdtan. Si w fè yon erè, w ap oblije rete tann jiskaske yo rejte aplikasyon an, sèlman lè sa a ka soumèt li ankò. Tout bagay sa yo fè li difisil pou deplwaye sistèm gwo echèl.
Pwosedi validasyon domèn pou chak otorite sètifikasyon ka diferan. Mank normalisation pafwa mennen nan pwoblèm sekirite. Pi popilè lè, akòz yon ensèk nan sistèm nan, yon sèl CA verifye tout domèn deklare. Nan sitiyasyon sa yo, sètifika SSL yo ka bay resous fwod.
IETF apwouve pwotokòl ACME (spesifikasyon ) ta dwe otomatize ak estandadize pwosesis pou jwenn yon sètifika. Ak elimine faktè imen an pral ede ogmante fyab la ak sekirite nan verifikasyon non domèn.
Estanda a louvri epi nenpòt moun ka kontribye nan devlopman li. NAN Enstriksyon ki enpòtan yo te pibliye.
Kijan travay sa a
Demann yo echanje nan ACME sou HTTPS lè l sèvi avèk mesaj JSON. Pou travay ak pwotokòl la, ou bezwen enstale kliyan ACME sou ne sib la; li jenere yon pè kle inik premye fwa ou jwenn aksè nan CA a. Imedyatman, yo pral itilize yo siyen tout mesaj ki soti nan kliyan an ak sèvè.
Premye mesaj la gen enfòmasyon kontak sou pwopriyetè domèn nan. Li siyen ak kle prive a epi voye l bay sèvè a ansanm ak kle piblik la. Li verifye otantisite siyati a epi, si tout bagay anfòm, li kòmanse pwosedi pou bay yon sètifika SSL.
Pou jwenn yon sètifika, kliyan an dwe pwouve sèvè a ke li posede domèn nan. Pou fè sa, li fè sèten aksyon ki disponib sèlman nan mèt kay la. Pou egzanp, yon otorite sètifika ka jenere yon siy inik epi mande kliyan an mete l sou sit la. Apre sa, CA a bay yon rechèch entènèt oswa DNS pou rekipere kle a nan siy sa a.
Pou egzanp, nan ka HTTP, kle ki soti nan siy la dwe mete nan yon dosye ki pral sèvi pa sèvè entènèt la. Pandan verifikasyon DNS, otorite sètifikasyon an ap chèche yon kle inik nan dokiman tèks dosye DNS la. Si tout bagay anfòm, sèvè a konfime ke kliyan an te valide ak CA a bay yon sètifika.
/flickr/ /
Posts
Sou IETF, ACME pral itil pou administratè ki gen pou travay ak plizyè non domèn. Estanda a pral ede lyen chak nan yo ak SSL yo mande yo.
Pami avantaj ki genyen nan estanda a, ekspè tou note plizyè . Yo dwe asire ke sètifika SSL yo bay sèlman pou pwopriyetè domèn otantik. An patikilye, yo itilize yon seri ekstansyon pou pwoteje kont atak DNS , ak pwoteje kont DoS, estanda a limite vitès la nan ekzekisyon demann endividyèl - pou egzanp, HTTP pou metòd la. . Devlopè ACME tèt yo Pou amelyore sekirite, ajoute entropi nan demann DNS epi egzekite yo nan plizyè pwen sou rezo a.
Solisyon menm jan an
Yo itilize pwotokòl tou pou jwenn sètifika и .
Premye a te devlope nan Cisco Systems. Objektif li se te senplifye pwosedi a pou bay sètifika dijital X.509 epi fè li kòm évolutive ke posib. Anvan SCEP, pwosesis sa a te mande patisipasyon aktif administratè sistèm yo epi li pa t byen mezire. Jodi a pwotokòl sa a se youn nan pi komen.
Kòm pou EST, li pèmèt kliyan PKI jwenn sètifika sou chanèl an sekirite. Li itilize TLS pou transfè mesaj ak emisyon SSL, osi byen ke pou mare CSR a moun k la. Anplis de sa, EST sipòte metòd kriptografi eliptik, ki kreye yon kouch sekirite adisyonèl.
Sou , solisyon tankou ACME ap bezwen vin pi gaye. Yo ofri yon modèl konfigirasyon SSL senplifye ak an sekirite epi tou pi vit pwosesis la.
Lòt pòs ki soti nan blog antrepriz nou an:
Sous: www.habr.com