IETF disetujoni Lingkungan Manajemen Sertifikat Otomatis (ACME), sing bakal mbantu ngotomatisasi panrimo sertifikat SSL. Ayo dadi pitutur marang kowe carane iku bisa.
/flickr/ /
Kenapa standar kasebut dibutuhake?
Rata-rata saben setelan kanggo domain, administrator bisa nglampahi saka siji kanggo telung jam. Yen sampeyan salah, sampeyan kudu ngenteni nganti aplikasi ditolak, mung banjur bisa diajukake maneh. Kabeh iki ndadekake angel kanggo nyebarake sistem skala gedhe.
Prosedur validasi domain kanggo saben panguwasa sertifikasi bisa beda-beda. Kurang standarisasi kadhangkala nyebabake masalah keamanan. misuwur nalika, amarga bug ing sistem, siji CA verifikasi kabeh domain ngumumaké. Ing kahanan kaya mengkono, sertifikat SSL bisa ditanggepi kanggo sumber daya penipuan.
Protokol ACME sing disetujoni IETF (spesifikasi ) kudu ngotomatisasi lan standarisasi proses entuk sertifikat. Lan ngilangi faktor manungsa bakal mbantu nambah linuwih lan keamanan verifikasi jeneng domain.
Standar kasebut mbukak lan sapa wae bisa nyumbang kanggo pangembangane. ING Pandhuan sing relevan wis diterbitake.
Carane ora karya iki
Panjaluk diijolke ing ACME liwat HTTPS nggunakake pesen JSON. Kanggo nggarap protokol kasebut, sampeyan kudu nginstal klien ACME ing simpul target; nggawe pasangan kunci sing unik nalika sampeyan ngakses CA. Sabanjure, bakal digunakake kanggo mlebu kabeh pesen saka klien lan server.
Pesen pisanan ngemot informasi kontak babagan pemilik domain. Iki ditandatangani nganggo kunci pribadi lan dikirim menyang server bebarengan karo kunci umum. Iku verifikasi keaslian teken lan, yen kabeh wis rampung, miwiti prosedur kanggo nerbitake sertifikat SSL.
Kanggo entuk sertifikat, klien kudu mbuktekake menyang server yen dheweke duwe domain kasebut. Kanggo nindakake iki, dheweke nindakake tumindak tartamtu sing mung kasedhiya kanggo pemilik. Contone, panguwasa sertifikat bisa ngasilake token unik lan njaluk klien kanggo nyelehake ing situs kasebut. Sabanjure, CA ngetokake pitakon web utawa DNS kanggo njupuk kunci saka token iki.
Contone, ing kasus HTTP, kunci saka token kudu diselehake ing file sing bakal dilayani dening server web. Sajrone verifikasi DNS, panguwasa sertifikasi bakal nggoleki kunci unik ing dokumen teks rekaman DNS. Yen kabeh apik, server konfirmasi yen klien wis divalidasi lan CA ngetokake sertifikat.
/flickr/ /
Posts
Miturut IETF, ACME bakal migunani kanggo pangurus sing kudu nggarap pirang-pirang jeneng domain. Standar kasebut bakal mbantu ngubungake saben wong menyang SSL sing dibutuhake.
Antarane kaluwihan standar, para ahli uga nyathet sawetara . Dheweke kudu mesthekake yen sertifikat SSL ditanggepi mung kanggo pamilik domain asli. Utamane, sakumpulan ekstensi digunakake kanggo nglindhungi serangan DNS , lan kanggo nglindhungi DoS, standar kasebut mbatesi kacepetan eksekusi panjaluk individu - contone, HTTP kanggo metode . pangembang ACME dhewe Kanggo nambah keamanan, tambahake entropi menyang pitakon DNS lan eksekusi saka macem-macem titik ing jaringan.
Solusi sing padha
Protokol uga digunakake kanggo entuk sertifikat и .
Pisanan dikembangaké ing Cisco Systems. Tujuane yaiku kanggo nyederhanakake prosedur kanggo nerbitake sertifikat digital X.509 lan nggawe ukurane bisa diukur. Sadurunge SCEP, proses iki mbutuhake partisipasi aktif administrator sistem lan ora ukurane apik. Dina iki protokol iki salah siji sing paling umum.
Kanggo EST, ngidini klien PKI entuk sertifikat liwat saluran sing aman. Iki nggunakake TLS kanggo transfer pesen lan penerbitan SSL, uga kanggo ngiket CSR menyang pangirim. Kajaba iku, EST ndhukung metode kriptografi eliptik, sing nggawe lapisan keamanan tambahan.
Miturut , solusi kaya ACME kudu dadi luwih nyebar. Dheweke nawakake model persiyapan SSL sing disederhanakake lan aman lan uga nyepetake proses kasebut.
Kiriman tambahan saka blog perusahaan kita:
Source: www.habr.com