IETF pejirand Jîngeha Rêvebiriya Sertîfîkaya Otomatîk (ACME), ku dê ji bo wergirtina sertîfîkayên SSL-ê bixweber bibe alîkar. Ka em ji we re vebêjin ka ew çawa dixebite.
/Flickr/ /
Çima standard hewce bû?
Average per mîhengê ji bo domainek, rêveber dikare ji yek heya sê demjimêran derbas bike. Ger hûn xeletiyek bikin, hûn ê li bendê bimînin heya ku serîlêdan were red kirin, tenê wê hingê dikare dîsa were şandin. Hemî ev pêkanîna pergalên mezin dijwar dike.
Pêvajoya pejirandina domainê ji bo her desthilatdariya pejirandinê dikare cûda bibe. Nebûna standardbûnê carinan dibe sedema pirsgirêkên ewlehiyê. Nashatî gava ku, ji ber xeletiyek di pergalê de, yek CA hemî domên diyarkirî verast kir. Di rewşên weha de, dibe ku sertîfîkayên SSL ji çavkaniyên xapînok re bêne derxistin.
IETF protokola ACME pejirand (taybetî ) divê pêvajoya wergirtina sertîfîkayê otomatîk û standardîze bike. Û rakirina faktora mirovî dê bibe alîkar ku pêbawerî û ewlehiya verastkirina navê domainê zêde bike.
Standard vekirî ye û her kes dikare beşdarî pêşkeftina wê bibe. LI Talîmatên têkildar hatine weşandin.
Çawa ev karê
Daxwaz di ACME de li ser HTTPS bi karanîna peyamên JSON têne veguheztin. Ji bo ku hûn bi protokolê re bixebitin, hûn hewce ne ku xerîdar ACME li ser girêka armanc saz bikin; gava yekem ku hûn gihîştin CA-ê, ew cotek miftek bêhempa çêdike. Dûv re, ew ê werin bikar anîn da ku hemî peyamên ji xerîdar û serverê îmze bikin.
Peyama yekem agahdariya têkiliyê li ser xwediyê domainê heye. Ew bi mifteya taybet tê îmzekirin û digel mifteya giştî ji serverê re tê şandin. Ew rastbûna îmzeyê verast dike û, ger her tişt bi rêkûpêk be, prosedûra derxistina sertîfîkaya SSL-ê dest pê dike.
Ji bo bidestxistina sertîfîkayê, xerîdar divê ji serverê re îspat bike ku ew xwediyê domainê ye. Ji bo vê yekê, ew hin çalakiyan tenê ji xwediyê xwe re peyda dike. Mînakî, rayedarek sertîfîkayê dikare tokenek yekta çêbike û ji xerîdar bixwaze ku wê li ser malperê bi cîh bike. Dûv re, CA pirsek tevnek an DNS derdixe da ku mifteyê ji vê tokenê bistîne.
Mînakî, di doza HTTP de, divê mifteya ji tokenê di pelek ku dê ji hêla servera malperê ve were xizmet kirin were danîn. Di dema verastkirina DNS-ê de, desthilatdariya pejirandinê dê di belgeya nivîsê ya tomara DNS de li mifteyek yekta bigere. Ger her tişt baş be, server piştrast dike ku xerîdar hatî pejirandin û CA sertîfîkayek derdixe.
/Flickr/ /
Mesaj
Bi IETF, ACME dê ji bo rêvebirên ku neçar in bi gelek navên domainê re bixebitin kêrhatî be. Standard dê bibe alîkar ku her yek ji wan bi SSL-yên pêwîst ve girêbide.
Di nav avantajên standard de, pispor gelek jî destnîşan dikin . Pêdivî ye ku ew piştrast bikin ku sertîfîkayên SSL tenê ji xwedan domainên rastîn re têne derxistin. Bi taybetî, komek dirêjkirin ji bo parastina li dijî êrîşên DNS-ê tê bikar anîn , û ji bo parastina li dijî DoS, standard leza pêkanîna daxwazên kesane sînor dike - mînakî, HTTP ji bo rêbazê . pêşdebiran ACME xwe Ji bo baştirkirina ewlehiyê, entropiyê li pirsên DNS-ê zêde bikin û wan ji gelek xalên li ser torê bicîh bikin.
Çareseriyên wekhev
Ji bo bidestxistina sertîfîkayan jî protokol têne bikar anîn и .
Ya yekem li Cisco Systems hate pêşve xistin. Armanca wê ew bû ku prosedûra derxistina sertîfîkayên dîjîtal ên X.509 hêsan bike û wê bi qasî ku pêkan berbelav bike. Berî SCEP-ê, ev pêvajo bi beşdariya çalak a rêvebirên pergalê hewce bû û baş neçû. Îro ev protokol yek ji herî gelemperî ye.
Ji bo EST-ê, ew dihêle xerîdarên PKI-yê li ser kanalên ewledar sertîfîkayan bistînin. Ew TLS-ê ji bo veguheztina peyam û weşandina SSL-ê bikar tîne, û hem jî ji bo girêdana CSR bi şanderê re. Wekî din, EST rêgezên krîptografî yên elîptîk piştgirî dike, ku qatek ewlehiyê ya zêde diafirîne.
Bi , çareseriyên mîna ACME dê hewce ne ku berfirehtir bibin. Ew modelek sazkirinê ya SSL-ya hêsan û ewledar pêşkêş dikin û di heman demê de pêvajoyê jî bilezînin.
Mesajên zêde ji bloga meya pargîdanî:
Source: www.habr.com