IETF бекитилген Automatic Certificate Management Environment (ACME), ал SSL сертификаттарын алууну автоматташтырууга жардам берет. Анын кантип иштээрин айтып берели.
/flickr/ /
Эмне үчүн стандарт керек болгон?
Ар бир жөндөө үчүн орточо домен үчүн, администратор бир сааттан үч саатка чейин өткөрө алат. Эгерде сиз ката кетирсеңиз, анда арыз четке кагылганга чейин күтүшүңүз керек болот, андан кийин гана аны кайра тапшырууга болот. Мунун баары масштабдуу системаларды жайылтууну кыйындатат.
Доменди текшерүү процедурасы ар бир тастыктоочу орган үчүн ар кандай болушу мүмкүн. Стандартташтыруунун жоктугу кээде коопсуздук көйгөйлөрүнө алып келет. Famous системадагы катадан улам, бир CA бардык жарыяланган домендерди текшергенде. Мындай учурларда, SSL сертификаттары алдамчылык ресурстарга берилиши мүмкүн.
IETF тарабынан бекитилген ACME протоколу (спецификация ) күбөлүк алуу процессин автоматташтыруу жана стандартташтыруу керек. Ал эми адам факторун жок кылуу домендик аталышты текшерүүнүн ишенимдүүлүгүн жана коопсуздугун жогорулатууга жардам берет.
Стандарт ачык жана ар бир адам анын өнүгүшүнө салым кошо алат. IN инструкциялар жарыяланды.
Бул кандай иштейт
ACMEдеги суроо-талаптар HTTPS аркылуу JSON билдирүүлөрү аркылуу алмаштылат. Протокол менен иштөө үчүн максаттуу түйүнгө ACME кардарын орнотуу керек; ал CAга биринчи жолу киргенде уникалдуу ачкыч жупту жаратат. Андан кийин, алар бардык кардар жана сервер билдирүүлөрүнө кол коюу үчүн колдонулат.
Биринчи билдирүү домендин ээси жөнүндө байланыш маалыматын камтыйт. Ал купуя ачкыч менен кол коюлуп, ачык ачкыч менен бирге серверге жөнөтүлөт. Ал колдун аныктыгын текшерет жана эгер баары жайында болсо, SSL сертификатын берүү процедурасын баштайт.
Сертификат алуу үчүн кардар серверге доменге таандык экенин далилдеши керек. Бул үчүн ал ээсине гана жеткиликтүү болгон белгилүү бир аракеттерди жасайт. Мисалы, тастыктама органы уникалдуу энбелгисин жаратып, кардардан аны сайтка жайгаштырууну суранышы мүмкүн. Андан кийин, CA бул белгиден ачкычты алуу үчүн веб же DNS суроосун чыгарат.
Мисалы, HTTP учурда, токендин ачкычы веб-сервер тейлей турган файлга жайгаштырылышы керек. DNS верификациясы учурунда сертификаттоо органы DNS жазуусунун тексттик документинде уникалдуу ачкычты издейт. Эгерде баары өз нугунда болсо, сервер кардар текшерилгенин ырастайт жана CA сертификат берет.
/flickr/ /
билдирүүлөр
боюнча IETF, ACME бир нече домендик аталыштар менен иштөөгө туура келген администраторлор үчүн пайдалуу болот. Стандарт алардын ар бирин каалаган SSL менен байланыштырууга жардам берет.
Стандарттын артыкчылыктарынын арасында эксперттер да бир нече белгилешет . Алар SSL сертификаттары чыныгы каттоочуларга гана берилишине кепилдик бериши керек. Атап айтканда, кеңейтүүлөрдүн топтому DNS чабуулдарынан коргоо үчүн колдонулат. , жана DoSдан коргоо үчүн стандарт жеке суроо-талаптарды аткаруу ылдамдыгын чектейт - мисалы, метод үчүн HTTP . ACME иштеп чыгуучулар өздөрү коопсуздукту жогорулатуу үчүн, DNS сурамдарына энтропияны кошуп, аларды тармактын бир нече пункттарынан аткарыңыз.
Окшош чечимдер
Протоколдор сертификаттарды алуу үчүн да колдонулат. и .
Биринчиси Cisco Systems тарабынан иштелип чыккан. Анын максаты X.509 санариптик сертификаттарын берүү процедурасын жөнөкөйлөтүү жана аны мүмкүн болушунча масштабдуу кылуу болгон. SCEP пайда болгонго чейин бул процесс системалык администраторлордун активдүү катышуусун талап кылган жана масштабдуу эмес. Бүгүнкү күндө бул протокол эң кеңири таралган протоколдордун бири болуп саналат.
ESTге келсек, ал PKI кардарларына коопсуз каналдар аркылуу сертификаттарды алууга мүмкүнчүлүк берет. Ал билдирүү жөнөтүү жана SSL берүү үчүн TLS колдонот, ошондой эле CSRди жөнөтүүчүгө байланыштырат. Мындан тышкары, EST эллиптикалык криптография ыкмаларын колдойт, бул кошумча коргоо катмарын түзөт.
боюнча , ACME сыяктуу чечимдерди кеңири жайылтуу керек болот. Алар жөнөкөйлөштүрүлгөн жана коопсуз SSL орнотуу моделин сунуштайт, ошондой эле процессти тездетет.
Биздин корпоративдик блогубуздан кошумча билдирүүлөр:
Source: www.habr.com