IETF-ի կողմից հաստատված ACME - սա ստանդարտ է SSL վկայագրերի հետ աշխատելու համար

IETF-ը հաստատվել է стандарт Ավտոմատ վկայականի կառավարման միջավայր (ACME), որը կօգնի ավտոմատացնել SSL վկայագրերի ստացումը: Եկեք պատմենք ձեզ, թե ինչպես է այն աշխատում:

/flickr/ Քլիֆ Ջոնսոն / CC BY-SA- ն

Ինչու՞ էր անհրաժեշտ ստանդարտը:

Միջին մեկ պարամետրի համար SSL վկայագիր տիրույթի համար ադմինիստրատորը կարող է ծախսել մեկից երեք ժամ: Եթե ​​սխալ եք թույլ տալիս, պետք է սպասեք, մինչև հայտը մերժվի, որից հետո այն կարող է կրկին ներկայացվել։ Այս ամենը դժվարացնում է լայնածավալ համակարգերի տեղակայումը:

Յուրաքանչյուր սերտիֆիկացման մարմնի համար տիրույթի վավերացման կարգը կարող է տարբեր լինել: Ստանդարտացման բացակայությունը երբեմն հանգեցնում է անվտանգության խնդիրների: Հայտնի տեղի է ունենումերբ համակարգում առկա սխալի պատճառով մեկ CA ստուգել է բոլոր հայտարարագրված տիրույթները: Նման իրավիճակներում SSL վկայագրերը կարող են տրվել խարդախ ռեսուրսների համար:

IETF-ի կողմից հաստատված ACME արձանագրությունը (հստակեցում RFC8555- ը) պետք է ավտոմատացնի և ստանդարտացնի վկայական ստանալու գործընթացը: Իսկ մարդկային գործոնի վերացումը կօգնի բարձրացնել դոմենի անվան ստուգման հուսալիությունն ու անվտանգությունը։

Ստանդարտը բաց է, և յուրաքանչյուր ոք կարող է նպաստել դրա զարգացմանը: IN պահոցներ GitHub-ում Հրապարակվել են համապատասխան հրահանգներ։

Ինչպես է այն աշխատում

Հարցումները փոխանակվում են ACME-ով HTTPS-ի միջոցով՝ օգտագործելով JSON հաղորդագրությունները: Արձանագրության հետ աշխատելու համար դուք պետք է տեղադրեք ACME հաճախորդը թիրախային հանգույցի վրա, այն ստեղծում է եզակի բանալիների զույգ, երբ առաջին անգամ մուտք եք գործում CA: Հետագայում դրանք կօգտագործվեն հաճախորդի և սերվերի բոլոր հաղորդագրությունները ստորագրելու համար:

Առաջին հաղորդագրությունը պարունակում է կոնտակտային տվյալներ դոմենի սեփականատիրոջ մասին: Այն ստորագրվում է մասնավոր բանալիով և ուղարկվում է սերվեր՝ հանրային բանալու հետ միասին: Այն ստուգում է ստորագրության իսկությունը և, եթե ամեն ինչ կարգին է, սկսում է SSL վկայագրի տրամադրման ընթացակարգը։

Հավաստագիր ստանալու համար հաճախորդը պետք է սերվերին ապացուցի, որ իրեն է պատկանում տիրույթը: Դա անելու համար նա կատարում է որոշակի գործողություններ, որոնք հասանելի են միայն սեփականատիրոջը: Օրինակ, սերտիֆիկատի մարմինը կարող է ստեղծել եզակի նշան և խնդրել հաճախորդին տեղադրել այն կայքում: Հաջորդը, CA-ն թողարկում է վեբ կամ DNS հարցում՝ բանալին այս նշանից ստանալու համար:

Օրինակ, HTTP-ի դեպքում նշանից ստացված բանալին պետք է տեղադրվի ֆայլում, որը սպասարկվելու է վեբ սերվերի կողմից: DNS ստուգման ժամանակ սերտիֆիկացման մարմինը DNS գրառումի տեքստային փաստաթղթում եզակի բանալի կփնտրի: Եթե ​​ամեն ինչ կարգին է, սերվերը հաստատում է, որ հաճախորդը վավերացվել է, և CA-ն վկայական է տալիս:

/flickr/ Բլոնդինրիկարդ Ֆրյոբերգ / CC BY- ի կողմից

Գրառումներ

On ըստ IETF, ACME-ն օգտակար կլինի ադմինիստրատորների համար, ովքեր պետք է աշխատեն մի քանի տիրույթի անունների հետ: Ստանդարտը կօգնի նրանցից յուրաքանչյուրին կապել անհրաժեշտ SSL-ների հետ:

Ստանդարտի առավելությունների թվում փորձագետները նշում են նաև մի քանիսը անվտանգության մեխանիզմներ. Նրանք պետք է ապահովեն, որ SSL վկայագրերը տրվեն միայն իսկական տիրույթի սեփականատերերին: Մասնավորապես, DNS հարձակումներից պաշտպանվելու համար օգտագործվում է ընդլայնումների մի շարք DNSSEC- ը, և DoS-ից պաշտպանվելու համար ստանդարտը սահմանափակում է անհատական ​​հարցումների կատարման արագությունը, օրինակ՝ HTTP մեթոդի համար POST. ACME մշակողները իրենք են Խորհուրդ տալ Անվտանգությունը բարելավելու համար DNS հարցումներին ավելացրեք էնտրոպիա և կատարեք դրանք ցանցի մի քանի կետերից:

Նմանատիպ լուծումներ

Արձանագրություններն օգտագործվում են նաև վկայագրեր ստանալու համար SCEP и EST.

Առաջինը մշակվել է Cisco Systems-ում: Դրա նպատակն էր պարզեցնել X.509 թվային վկայագրերի տրամադրման ընթացակարգը և այն հնարավորինս մասշտաբային դարձնել: Մինչ SCEP-ը, այս գործընթացը պահանջում էր համակարգի ադմինիստրատորների ակտիվ մասնակցություն և լավ մասշտաբային չէր: Այսօր այս արձանագրությունը ամենատարածվածներից է:

Ինչ վերաբերում է EST-ին, ապա այն PKI հաճախորդներին թույլ է տալիս ստանալ հավաստագրեր անվտանգ ալիքներով: Այն օգտագործում է TLS հաղորդագրությունների փոխանցման և SSL թողարկման, ինչպես նաև CSR-ն ուղարկողին կապելու համար: Բացի այդ, EST-ն աջակցում է էլիպսային ծածկագրման մեթոդներին, որոնք ստեղծում են անվտանգության լրացուցիչ շերտ։

On փորձագիտական ​​եզրակացություն, ACME-ի նման լուծումները պետք է ավելի լայն տարածում ունենան: Նրանք առաջարկում են պարզեցված և անվտանգ SSL-ի տեղադրման մոդել, ինչպես նաև արագացնում են գործընթացը:

Լրացուցիչ գրառումներ մեր կորպորատիվ բլոգից.

• Կազմակերպության ՏՏ ենթակառուցվածքի տարբերակներ
• Ֆայլերի կրկնօրինակում. ինչպես պաշտպանվել ձեզ տվյալների կորստից
• Վերապատրաստման ստենդ ադմինների համար. ինչպես կարող է օգնել ամպը
• Ամպային ճարտարապետության էվոլյուցիան 1cloud

Source: www.habr.com