disetujui IETF Lingkungan Manajemen Sertifikat Otomatis (ACME), yang akan membantu mengotomatiskan penerimaan sertifikat SSL. Mari beri tahu Anda cara kerjanya.
/flickr/ /
Mengapa standar itu diperlukan?
Rata-rata per pengaturan untuk sebuah domain, administrator dapat menghabiskan waktu satu hingga tiga jam. Jika Anda melakukan kesalahan, Anda harus menunggu hingga permohonan ditolak, baru setelah itu dapat diajukan kembali. Semua ini mempersulit penerapan sistem skala besar.
Prosedur validasi domain untuk setiap otoritas sertifikasi mungkin berbeda. Kurangnya standarisasi terkadang menyebabkan masalah keamanan. Terkenal ketika, karena bug dalam sistem, satu CA memverifikasi semua domain yang dideklarasikan. Dalam situasi seperti ini, sertifikat SSL mungkin diterbitkan ke sumber daya palsu.
Protokol ACME yang disetujui IETF (spesifikasi ) harus mengotomatiskan dan menstandardisasi proses memperoleh sertifikat. Dan menghilangkan faktor manusia akan membantu meningkatkan keandalan dan keamanan verifikasi nama domain.
Standar ini terbuka dan siapa pun dapat berkontribusi untuk pengembangannya. DI DALAM Instruksi yang relevan telah dipublikasikan.
Bagaimana itu bekerja
Permintaan dipertukarkan di ACME melalui HTTPS menggunakan pesan JSON. Untuk bekerja dengan protokol, Anda perlu menginstal klien ACME pada node target; ini menghasilkan pasangan kunci unik saat pertama kali Anda mengakses CA. Selanjutnya, mereka akan digunakan untuk menandatangani semua pesan dari klien dan server.
Pesan pertama berisi informasi kontak tentang pemilik domain. Itu ditandatangani dengan kunci pribadi dan dikirim ke server bersama dengan kunci publik. Ini memverifikasi keaslian tanda tangan dan, jika semuanya beres, memulai prosedur penerbitan sertifikat SSL.
Untuk mendapatkan sertifikat, klien harus membuktikan kepada server bahwa dia pemilik domain tersebut. Untuk melakukan ini, ia melakukan tindakan tertentu yang hanya tersedia bagi pemiliknya. Misalnya, otoritas sertifikat dapat membuat token unik dan meminta klien untuk menempatkannya di situs. Selanjutnya, CA mengeluarkan permintaan web atau DNS untuk mengambil kunci dari token ini.
Misalnya, dalam kasus HTTP, kunci dari token harus ditempatkan di file yang akan disajikan oleh server web. Selama verifikasi DNS, otoritas sertifikasi akan mencari kunci unik dalam dokumen teks data DNS. Jika semuanya baik-baik saja, server mengonfirmasi bahwa klien telah divalidasi dan CA menerbitkan sertifikat.
/flickr/ /
pendapat
Pada IETF, ACME akan berguna bagi administrator yang harus bekerja dengan banyak nama domain. Standar ini akan membantu menghubungkan masing-masingnya ke SSL yang diperlukan.
Di antara kelebihan standar ini, para ahli juga mencatat beberapa . Mereka harus memastikan bahwa sertifikat SSL dikeluarkan hanya untuk pemilik domain asli. Secara khusus, serangkaian ekstensi digunakan untuk melindungi dari serangan DNS , dan untuk melindungi dari DoS, standar membatasi kecepatan eksekusi permintaan individual - misalnya, HTTP untuk metode tersebut . Pengembang ACME sendiri Untuk meningkatkan keamanan, tambahkan entropi ke kueri DNS dan jalankan dari beberapa titik di jaringan.
Solusi serupa
Protokol juga digunakan untuk mendapatkan sertifikat ΠΈ .
Yang pertama dikembangkan di Cisco Systems. Tujuannya adalah untuk menyederhanakan prosedur penerbitan sertifikat digital X.509 dan menjadikannya skalabel mungkin. Sebelum SCEP, proses ini memerlukan partisipasi aktif dari administrator sistem dan tidak berjalan dengan baik. Saat ini protokol ini adalah salah satu yang paling umum.
Sedangkan untuk EST, memungkinkan klien PKI memperoleh sertifikat melalui saluran aman. Ia menggunakan TLS untuk transfer pesan dan penerbitan SSL, serta untuk mengikat CSR ke pengirim. Selain itu, EST mendukung metode kriptografi elips, yang menciptakan lapisan keamanan tambahan.
Pada , solusi seperti ACME perlu disebarluaskan. Mereka menawarkan model pengaturan SSL yang disederhanakan dan aman serta mempercepat prosesnya.
Posting tambahan dari blog perusahaan kami:
Sumber: www.habr.com