Approvato da IETF Automatic Certificate Management Environment (ACME), che aiuterà ad automatizzare la ricezione dei certificati SSL. Ti diciamo come funziona.
/flickr/ /
Perché era necessario lo standard?
Media per impostazione per un dominio, un amministratore può impiegare da una a tre ore. Se commetti un errore, dovrai attendere fino a quando la domanda non verrà respinta, solo dopo potrà essere presentata nuovamente. Tutto ciò rende difficile l'implementazione di sistemi su larga scala.
La procedura di convalida del dominio può differire per ciascuna autorità di certificazione. La mancanza di standardizzazione a volte porta a problemi di sicurezza. Famoso quando, a causa di un bug nel sistema, una CA ha verificato tutti i domini dichiarati. In tali situazioni, i certificati SSL possono essere emessi a risorse fraudolente.
Protocollo ACME approvato da IETF (specifica ) dovrebbero automatizzare e standardizzare il processo di ottenimento di un certificato. E l'eliminazione del fattore umano contribuirà ad aumentare l'affidabilità e la sicurezza della verifica del nome di dominio.
Lo standard è aperto e chiunque può contribuire al suo sviluppo. IN sono state pubblicate le istruzioni
Come funziona
Le richieste in ACME vengono scambiate su HTTPS utilizzando messaggi JSON. Per lavorare con il protocollo, è necessario installare un client ACME sul nodo di destinazione; genera una coppia di chiavi univoca la prima volta che accede alla CA. Successivamente, verranno utilizzati per firmare tutti i messaggi client e server.
Il primo messaggio contiene informazioni di contatto sul proprietario del dominio. Viene firmato con la chiave privata e inviato al server insieme alla chiave pubblica. Controlla l'autenticità della firma e, se tutto è in ordine, avvia la procedura per il rilascio del certificato SSL.
Per ottenere un certificato, il client deve dimostrare al server di possedere il dominio. Per fare ciò, esegue determinate azioni disponibili solo per il proprietario. Ad esempio, un'autorità di certificazione può generare un token univoco e chiedere al client di inserirlo nel sito. Successivamente, la CA emette una query web o DNS per estrarre la chiave da questo token.
Ad esempio, nel caso di HTTP, la chiave del token deve essere inserita in un file che verrà servito dal server web. Durante la verifica DNS, l'autorità di certificazione cercherà una chiave univoca nel documento di testo del record DNS. Se tutto è in ordine, il server conferma che il client è stato convalidato e la CA emette un certificato.
/flickr/ /
Мнения
Su IETF, ACME sarà utile per gli amministratori che devono lavorare con più nomi di dominio. Lo standard aiuterà ad associare ciascuno di essi con l'SSL desiderato.
Tra i vantaggi dello standard, anche gli esperti ne notano diversi . Devono garantire che i certificati SSL vengano rilasciati solo ai dichiaranti reali. In particolare, viene utilizzato un insieme di estensioni per proteggere dagli attacchi DNS. e per proteggere da DoS, lo standard limita la velocità di esecuzione delle singole richieste, ad esempio HTTP per il metodo . Gli stessi sviluppatori ACME per aumentare la sicurezza, aggiungere entropia alle query DNS ed eseguirle da diversi punti della rete.
Soluzioni simili
I protocolli vengono utilizzati anche per ottenere i certificati. и .
Il primo è stato sviluppato da Cisco Systems. Il suo obiettivo era semplificare la procedura di emissione dei certificati digitali X.509 e renderla il più scalabile possibile. Prima dell'avvento di SCEP, questo processo richiedeva la partecipazione attiva degli amministratori di sistema e non si adattava bene. Oggi, questo protocollo è uno dei più comuni.
Per quanto riguarda EST, consente ai client PKI di ottenere certificati su canali sicuri. Utilizza TLS per la messaggistica e l'emissione di SSL, oltre a vincolare il CSR al mittente. Inoltre, EST supporta metodi di crittografia ellittica, che creano un ulteriore livello di protezione.
Su , soluzioni come ACME dovranno essere adottate più ampiamente. Offrono un modello di configurazione SSL semplificato e sicuro e accelerano anche il processo.
Ulteriori post dal nostro blog aziendale:
Fonte: habr.com