IETF jóváhagyta Automatic Certificate Management Environment (ACME), amely segít automatizálni az SSL-tanúsítványok fogadását. Elmondjuk, hogyan működik.
/flickr/ /
Miért volt szükség a szabványra?
Átlag beállításonként egy domain esetében a rendszergazda egy-három órát tölthet. Ha hibázik, meg kell várnia a pályázat elutasítását, csak ezután lehet újra benyújtani. Mindez megnehezíti a nagyméretű rendszerek telepítését.
A domain érvényesítési eljárása minden hitelesítésszolgáltatónál eltérő lehet. A szabványosítás hiánya néha biztonsági problémákhoz vezet. Híres amikor a rendszer hibája miatt az egyik CA ellenőrizte az összes deklarált tartományt. Ilyen helyzetekben SSL-tanúsítványokat állíthatnak ki csalárd források számára.
Az IETF által jóváhagyott ACME protokoll (specifikáció ) automatizálnia és szabványosítania kell a tanúsítvány megszerzésének folyamatát. Az emberi tényező kiküszöbölése pedig növeli a domain név-ellenőrzés megbízhatóságát és biztonságát.
A szabvány nyitott, fejlesztéséhez bárki hozzájárulhat. BAN BEN A vonatkozó utasításokat közzétették.
Ez hogy működik
A kérések cseréje az ACME-ben történik HTTPS-en keresztül JSON-üzenetekkel. A protokoll használatához telepítenie kell az ACME klienst a célcsomópontra; az egyedi kulcspárt generál a CA első elérésekor. Ezt követően az ügyféltől és a szervertől érkező összes üzenet aláírására szolgálnak majd.
Az első üzenet a domain tulajdonosának elérhetőségi adatait tartalmazza. A privát kulccsal aláírják, és a nyilvános kulccsal együtt elküldik a szervernek. Ellenőrzi az aláírás hitelességét, és ha minden rendben van, megkezdi az SSL-tanúsítvány kiadásának folyamatát.
A tanúsítvány megszerzéséhez a kliensnek igazolnia kell a szervernek, hogy ő a tartomány tulajdonosa. Ehhez bizonyos, csak a tulajdonos számára elérhető műveleteket hajt végre. Például egy tanúsító hatóság létrehozhat egy egyedi tokent, és megkérheti az ügyfelet, hogy helyezze el a webhelyen. Ezután a CA webes vagy DNS-lekérdezést ad ki a kulcs lekéréséhez ebből a tokenből.
Például HTTP esetén a token kulcsát egy fájlba kell helyezni, amelyet a webszerver fog kiszolgálni. A DNS-ellenőrzés során a hitelesítésszolgáltató egyedi kulcsot keres a DNS-rekord szöveges dokumentumában. Ha minden rendben van, a szerver megerősíti, hogy a kliens érvényesítése megtörtént, és a CA tanúsítványt ad ki.
/flickr/ /
vélemények
On Az IETF, ACME hasznos lehet azoknak a rendszergazdáknak, akiknek több tartománynévvel kell dolgozniuk. A szabvány segít mindegyiket összekapcsolni a szükséges SSL-ekkel.
A szabvány előnyei között a szakértők számosat is megjegyeznek . Biztosítaniuk kell, hogy az SSL-tanúsítványokat csak valódi domaintulajdonosok kapják meg. Különösen a DNS-támadások elleni védelem érdekében egy bővítménykészletet használnak , és a DoS elleni védelem érdekében a szabvány korlátozza az egyes kérések végrehajtásának sebességét - például HTTP a metódushoz . maguk az ACME fejlesztők A biztonság növelése érdekében adjon entrópiát a DNS-lekérdezésekhez, és hajtsa végre azokat a hálózat több pontjáról.
Hasonló megoldások
A tanúsítványok megszerzéséhez protokollokat is használnak и .
Az elsőt a Cisco Systems fejlesztette ki. Célja az volt, hogy az X.509 digitális tanúsítványok kiadásának folyamatát leegyszerűsítse, és a lehető legjobban méretezhetővé tegye. Az SCEP előtt ez a folyamat a rendszergazdák aktív részvételét igényelte, és nem skálázódott jól. Ma ez a protokoll az egyik leggyakoribb.
Ami az EST-t illeti, lehetővé teszi a PKI-kliensek számára, hogy biztonságos csatornákon keresztül szerezzenek tanúsítványokat. TLS-t használ az üzenetátvitelhez és az SSL-kiadáshoz, valamint a CSR-nek a feladóhoz való kötésére. Ezenkívül az EST támogatja az elliptikus kriptográfiai módszereket, ami további biztonsági réteget hoz létre.
On , az olyan megoldásoknak, mint az ACME, szélesebb körben el kell terjedniük. Egyszerűsített és biztonságos SSL-beállítási modellt kínálnak, és felgyorsítják a folyamatot.
További bejegyzések céges blogunkról:
Forrás: will.com