IETF מאושר ACME - זהו תקן לעבודה עם תעודות SSL

IETF אושר стандарт סביבת ניהול תעודות אוטומטית (ACME), שתעזור להפוך את קבלת תעודות SSL לאוטומטיות. בואו נספר לכם איך זה עובד.

/flickr/ קליף ג'ונסון / CC BY-SA

מדוע היה צורך בתקן?

ממוצע לכל הגדרה תעודת SSL עבור דומיין, המנהל יכול לבלות בין שעה לשלוש שעות. אם תטעו, תצטרכו להמתין עד לדחיית הבקשה ורק לאחר מכן ניתן יהיה להגיש אותה שוב. כל זה מקשה על פריסת מערכות בקנה מידה גדול.

הליך אימות הדומיין עבור כל רשות אישורים עשוי להיות שונה. חוסר סטנדרטיזציה מוביל לפעמים לבעיות אבטחה. מפורסם מקרהכאשר, עקב באג במערכת, CA אחד אימת את כל הדומיינים המוצהרים. במצבים כאלה, אישורי SSL עשויים להיות מונפקים למשאבים הונאה.

פרוטוקול ACME מאושר על ידי IETF (מפרט RFC8555) צריך להפוך לאוטומטי ולתקן את תהליך קבלת האישור. וביטול הגורם האנושי יעזור להגביר את המהימנות והאבטחה של אימות שם הדומיין.

התקן פתוח וכל אחד יכול לתרום לפיתוחו. IN מאגרים ב- GitHub הוראות רלוונטיות פורסמו.

אֵיך מַפעִילִים אֶת זֶה

בקשות מוחלפות ב-ACME דרך HTTPS באמצעות הודעות JSON. כדי לעבוד עם הפרוטוקול, עליך להתקין את לקוח ACME בצומת היעד; הוא יוצר זוג מפתחות ייחודי בפעם הראשונה שאתה ניגש ל-CA. לאחר מכן, הם ישמשו לחתימה על כל ההודעות מהלקוח ומהשרת.

ההודעה הראשונה מכילה מידע ליצירת קשר על בעל הדומיין. הוא נחתם עם המפתח הפרטי ונשלח לשרת יחד עם המפתח הציבורי. הוא מוודא את האותנטיות של החתימה, ואם הכל תקין, מתחיל את ההליך להנפקת תעודת SSL.

כדי לקבל אישור, על הלקוח להוכיח לשרת שהוא הבעלים של הדומיין. לשם כך, הוא מבצע פעולות מסוימות הזמינות רק לבעלים. לדוגמה, רשות אישורים יכולה ליצור אסימון ייחודי ולבקש מהלקוח למקם אותו באתר. לאחר מכן, ה-CA מוציא שאילתת אינטרנט או DNS כדי לאחזר את המפתח מאסימון זה.

לדוגמה, במקרה של HTTP, המפתח מהאסימון חייב להיות ממוקם בקובץ שיוגש על ידי שרת האינטרנט. במהלך אימות DNS, רשות האישורים תחפש מפתח ייחודי במסמך הטקסט של רשומת ה-DNS. אם הכל בסדר, השרת מאשר שהלקוח עבר אימות וה-CA מנפיק אישור.

/flickr/ בלונדינריקארד פרוברג / CC BY

דעות

על על פי IETF, ACME יהיו שימושיים עבור מנהלי מערכת שצריכים לעבוד עם מספר שמות דומיין. התקן יעזור לקשר כל אחד מהם ל-SSLs הנדרשים.

בין היתרונות של התקן, מומחים מציינים גם כמה מנגנוני אבטחה. עליהם לוודא שתעודות SSL מונפקות רק לבעלי דומיין אמיתיים. בפרט, קבוצה של הרחבות משמשת להגנה מפני התקפות DNS DNSSEC, וכדי להגן מפני DoS, התקן מגביל את מהירות הביצוע של בקשות בודדות - לדוגמה, HTTP עבור השיטה POST. מפתחי ACME עצמם להמליץ כדי לשפר את האבטחה, הוסף אנטרופיה לשאילתות DNS והפעל אותן ממספר נקודות ברשת.

פתרונות דומים

פרוטוקולים משמשים גם להשגת אישורים SCEP и EST.

הראשון פותח ב-Cisco Systems. מטרתו הייתה לפשט את הליך הנפקת תעודות X.509 דיגיטליות ולהפוך אותו לדרגתי ככל האפשר. לפני SCEP, תהליך זה הצריך השתתפות פעילה של מנהלי מערכת ולא הוגדל היטב. כיום פרוטוקול זה הוא אחד הנפוצים ביותר.

באשר ל-EST, זה מאפשר ללקוחות PKI לקבל אישורים בערוצים מאובטחים. הוא משתמש ב-TLS להעברת הודעות והנפקת SSL, כמו גם כדי לאגד את ה-CSR לשולח. בנוסף, EST תומך בשיטות הצפנה אליפטיות, מה שיוצר שכבת אבטחה נוספת.

על דעת מומחה, פתרונות כמו ACME יצטרכו להיות נפוצים יותר. הם מציעים מודל הגדרת SSL פשוט ומאובטח וגם מאיצים את התהליך.

פוסטים נוספים מהבלוג הארגוני שלנו:

• אפשרויות תשתית IT לארגון
• גיבוי קבצים: כיצד להגן על עצמך מפני אובדן נתונים
• דוכן הדרכה למנהלים: איך הענן יכול לעזור
• האבולוציה של ארכיטקטורת הענן 1cloud

מקור: www.habr.com