IETF samþykkt Automatic Certificate Management Environment (ACME), sem mun hjálpa til við að gera sjálfvirkan móttöku SSL vottorða. Við skulum segja þér hvernig það virkar.
/Flickr/ /
Hvers vegna var þörf á staðlinum?
Meðaltal á hverja stillingu fyrir lén getur stjórnandinn eytt frá einum til þremur klukkustundum. Ef þú gerir mistök þarftu að bíða þar til umsókninni er hafnað, aðeins þá er hægt að senda hana aftur. Allt þetta gerir það að verkum að erfitt er að koma upp stórum kerfum.
Löggildingarferli léns fyrir hvert vottunaryfirvald getur verið mismunandi. Skortur á stöðlun leiðir stundum til öryggisvandamála. Frægur þegar, vegna galla í kerfinu, staðfesti eitt CA öll uppgefin lén. Í slíkum aðstæðum geta SSL vottorð verið gefin út fyrir sviksamlega auðlindir.
IETF samþykkti ACME siðareglur (forskrift ) ætti að gera sjálfvirkan og staðla ferlið við að fá vottorð. Og að útrýma mannlega þættinum mun hjálpa til við að auka áreiðanleika og öryggi sannprófunar léns.
Staðallinn er opinn og hver sem er getur lagt sitt af mörkum til þróunar hans. IN Viðeigandi leiðbeiningar hafa verið birtar.
Hvernig virkar þetta
Skipst er á beiðnum í ACME yfir HTTPS með því að nota JSON skilaboð. Til að vinna með samskiptaregluna þarftu að setja upp ACME biðlarann á markhnútnum; hann býr til einstakt lyklapar í fyrsta skipti sem þú opnar CA. Í kjölfarið verða þau notuð til að undirrita öll skilaboð frá biðlara og þjóni.
Fyrstu skilaboðin innihalda tengiliðaupplýsingar um eiganda lénsins. Það er undirritað með einkalyklinum og sent á netþjóninn ásamt opinbera lyklinum. Það sannreynir áreiðanleika undirskriftarinnar og, ef allt er í lagi, hefst ferlið við útgáfu SSL vottorðs.
Til að fá vottorð þarf viðskiptavinurinn að sanna fyrir þjóninum að hann eigi lénið. Til að gera þetta framkvæmir hann ákveðnar aðgerðir sem eru aðeins tiltækar eigandanum. Til dæmis getur vottunaraðili búið til einstakt tákn og beðið viðskiptavininn um að setja það á síðuna. Næst gefur CA út vef- eða DNS fyrirspurn til að sækja lykilinn af þessu tákni.
Til dæmis, þegar um er að ræða HTTP, verður lykillinn af tákninu að vera settur í skrá sem verður þjónað af vefþjóninum. Við DNS-staðfestingu mun vottunaryfirvöld leita að einstökum lykli í textaskjali DNS-skrárinnar. Ef allt er í lagi, staðfestir þjónninn að biðlarinn hafi verið staðfestur og CA gefur út vottorð.
/Flickr/ /
Skoðanir
Á IETF, ACME mun vera gagnlegt fyrir stjórnendur sem þurfa að vinna með mörg lén. Staðallinn mun hjálpa til við að tengja hvert þeirra við nauðsynleg SSL.
Meðal kosta staðalsins benda sérfræðingar einnig á nokkra . Þeir verða að tryggja að SSL vottorð séu eingöngu gefin út til raunverulegra lénaeigenda. Sérstaklega er sett af viðbótum notað til að vernda gegn DNS árásum , og til að vernda gegn DoS, takmarkar staðallinn hraða framkvæmdar einstakra beiðna - til dæmis HTTP fyrir aðferðina . ACME verktaki sjálfir Til að bæta öryggi skaltu bæta óreiðu við DNS fyrirspurnir og framkvæma þær frá mörgum stöðum á netinu.
Svipaðar lausnir
Samskiptareglur eru einnig notaðar til að fá vottorð и .
Sú fyrsta var þróuð hjá Cisco Systems. Markmið þess var að einfalda málsmeðferðina við útgáfu X.509 stafrænna skilríkja og gera það eins stigstærð og mögulegt er. Fyrir SCEP krafðist þetta ferli virkra þátttakenda kerfisstjóra og stærðar ekki vel. Í dag er þessi samskiptaregla ein sú algengasta.
Hvað EST varðar, þá gerir það PKI viðskiptavinum kleift að fá vottorð yfir öruggar rásir. Það notar TLS fyrir skilaboðaflutning og SSL útgáfu, sem og til að binda CSR við sendanda. Að auki styður EST sporöskjulaga dulritunaraðferðir, sem skapar aukið öryggislag.
Á , lausnir eins og ACME þurfa að verða útbreiddari. Þeir bjóða upp á einfaldað og öruggt SSL uppsetningarlíkan og flýta einnig fyrir ferlinu.
Viðbótarfærslur frá fyrirtækjablogginu okkar:
Heimild: www.habr.com