IETF 승인 ACME - SSL 인증서 작업을 위한 표준입니다.

IETF 승인 표준 SSL 인증서 수신을 자동화하는 데 도움이 되는 자동 인증서 관리 환경(ACME). 그것이 어떻게 작동하는지 말해 봅시다.

/플리커/ 클리프 존슨 / CC의 BY-SA

표준이 왜 필요했나요?

설정당 평균 SSL 인증서 도메인의 경우 관리자는 XNUMX~XNUMX시간을 소비할 수 있습니다. 실수를 하면 신청서가 거부될 때까지 기다려야 하며, 그 후에야 다시 제출할 수 있습니다. 이 모든 것이 대규모 시스템 배포를 어렵게 만듭니다.

각 인증 기관의 도메인 유효성 검사 절차는 다를 수 있습니다. 표준화가 부족하면 보안 문제가 발생하는 경우가 있습니다. 유명한 사고시스템의 버그로 인해 한 CA가 선언된 모든 도메인을 확인한 경우. 이러한 상황에서는 사기성 리소스에 SSL 인증서가 발급될 수 있습니다.

IETF 승인 ACME 프로토콜(사양 RFC8555) 인증서 획득 프로세스를 자동화하고 표준화해야 합니다. 그리고 인적 요소를 제거하면 도메인 이름 확인의 신뢰성과 보안이 향상됩니다.

표준은 개방적이며 누구나 개발에 기여할 수 있습니다. 안에 GitHub의 리포지토리 관련 지침이 게시되었습니다.

이거 어떻게 작동 시켜요

요청은 JSON 메시지를 사용하여 HTTPS를 통해 ACME에서 교환됩니다. 프로토콜을 사용하려면 대상 노드에 ACME 클라이언트를 설치해야 하며 CA에 처음 액세스할 때 고유한 키 쌍이 생성됩니다. 이후에는 클라이언트와 서버의 모든 메시지에 서명하는 데 사용됩니다.

첫 번째 메시지에는 도메인 소유자에 대한 연락처 정보가 포함되어 있습니다. 개인 키로 서명되어 공개 키와 함께 서버로 전송됩니다. 서명의 진위 여부를 확인하고 모든 것이 정상이면 SSL 인증서 발급 절차를 시작합니다.

인증서를 얻으려면 클라이언트는 자신이 도메인을 소유하고 있음을 서버에 증명해야 합니다. 이를 위해 그는 소유자에게만 제공되는 특정 작업을 수행합니다. 예를 들어, 인증 기관은 고유한 토큰을 생성하고 클라이언트에게 이를 사이트에 배치하도록 요청할 수 있습니다. 다음으로 CA는 웹 또는 DNS 쿼리를 발행하여 이 토큰에서 키를 검색합니다.

예를 들어 HTTP의 경우 토큰의 키는 웹 서버에서 제공할 파일에 배치되어야 합니다. DNS 확인 중에 인증 기관은 DNS 레코드의 텍스트 문서에서 고유 키를 찾습니다. 모든 것이 정상이면 서버는 클라이언트가 검증되었는지 확인하고 CA는 인증서를 발급합니다.

/플리커/ 블론디리카드 프로베르그 / CC BY

의견

에 ~에 따르면 IETF, ACME는 여러 도메인 이름으로 작업해야 하는 관리자에게 유용합니다. 표준은 각 항목을 필수 SSL에 연결하는 데 도움이 됩니다.

표준의 장점 중 전문가들은 다음과 같은 몇 가지 사항에 주목합니다. 보안 메커니즘. SSL 인증서가 실제 도메인 소유자에게만 발급되도록 해야 합니다. 특히, DNS 공격으로부터 보호하기 위해 일련의 확장이 사용됩니다. DNSSEC, 그리고 DoS로부터 보호하기 위해 표준은 개별 요청의 실행 속도를 제한합니다(예: 메소드의 경우 HTTP). POST. ACME 개발자 자신 추천하다 보안을 강화하려면 DNS 쿼리에 엔트로피를 추가하고 네트워크의 여러 지점에서 실행하세요.

유사한 솔루션

프로토콜은 인증서를 얻는 데에도 사용됩니다. SCEP и EST.

첫 번째는 Cisco Systems에서 개발되었습니다. 그 목표는 X.509 디지털 인증서 발급 절차를 단순화하고 최대한 확장 가능하게 만드는 것이었습니다. SCEP 이전에는 이 프로세스에 시스템 관리자의 적극적인 참여가 필요했으며 확장이 잘 되지 않았습니다. 오늘날 이 프로토콜은 가장 일반적인 프로토콜 중 하나입니다.

EST의 경우 PKI 클라이언트가 보안 채널을 통해 인증서를 얻을 수 있습니다. 메시지 전송 및 SSL 발급에 TLS를 사용하고 CSR을 발신자에 바인딩합니다. 또한 EST는 추가 보안 계층을 생성하는 타원 암호화 방법을 지원합니다.

에 전문가의 의견, ACME와 같은 솔루션은 더욱 널리 보급되어야 합니다. 간단하고 안전한 SSL 설정 모델을 제공하고 프로세스 속도를 높입니다.

당사 블로그의 추가 게시물:

• 조직의 IT 인프라에 대한 옵션
• 파일 백업: 데이터 손실로부터 자신을 보호하는 방법
• 관리자를 위한 교육 스탠드: 클라우드가 도울 수 있는 방법
• 클라우드 아키텍처의 진화 1cloud

출처 : habr.com