IETF patvirtintas Automatinė sertifikatų valdymo aplinka (ACME), kuri padės automatizuoti SSL sertifikatų gavimą. Papasakosime, kaip tai veikia.
/flickr/ /
Kodėl prireikė standarto?
Vidutinis nustatymas domenui administratorius gali skirti nuo vienos iki trijų valandų. Jei padarysite klaidą, turėsite palaukti, kol paraiška bus atmesta, tik tada ją bus galima pateikti dar kartą. Visa tai apsunkina didelio masto sistemų diegimą.
Kiekvienos sertifikavimo institucijos domeno patvirtinimo procedūra gali skirtis. Standartizacijos trūkumas kartais sukelia saugumo problemų. Įžymūs kai dėl sistemos klaidos viena CA patikrino visus deklaruotus domenus. Tokiose situacijose SSL sertifikatai gali būti išduoti apgaulingiems ištekliams.
IETF patvirtintas ACME protokolas (specifikacija ) turėtų automatizuoti ir standartizuoti sertifikato gavimo procesą. O žmogiškojo faktoriaus pašalinimas padės padidinti domeno vardo tikrinimo patikimumą ir saugumą.
Standartas yra atviras ir kiekvienas gali prisidėti prie jo kūrimo. IN Buvo paskelbtos atitinkamos instrukcijos.
Kaip tai veikia
Užklausos keičiamos ACME per HTTPS naudojant JSON pranešimus. Norėdami dirbti su protokolu, tiksliniame mazge turite įdiegti ACME klientą; jis sugeneruoja unikalią raktų porą pirmą kartą prisijungus prie CA. Vėliau jie bus naudojami pasirašyti visus pranešimus iš kliento ir serverio.
Pirmame pranešime yra domeno savininko kontaktinė informacija. Jis pasirašomas privačiu raktu ir siunčiamas į serverį kartu su viešuoju raktu. Jis patikrina parašo autentiškumą ir, jei viskas tvarkoje, pradeda SSL sertifikato išdavimo procedūrą.
Norėdamas gauti sertifikatą, klientas turi įrodyti serveriui, kad jam priklauso domenas. Norėdami tai padaryti, jis atlieka tam tikrus veiksmus, prieinamus tik savininkui. Pavyzdžiui, sertifikavimo institucija gali sugeneruoti unikalų prieigos raktą ir paprašyti kliento įdėti jį į svetainę. Tada CA pateikia žiniatinklio arba DNS užklausą, kad gautų raktą iš šio prieigos rakto.
Pavyzdžiui, HTTP atveju raktas iš prieigos rakto turi būti įdėtas į failą, kurį aptarnaus žiniatinklio serveris. DNS tikrinimo metu sertifikavimo institucija DNS įrašo tekstiniame dokumente ieškos unikalaus rakto. Jei viskas gerai, serveris patvirtina, kad klientas buvo patvirtintas, o CA išduoda sertifikatą.
/flickr/ /
nuomonės
Apie IETF, ACME bus naudingi administratoriams, kurie turi dirbti su keliais domenų vardais. Standartas padės susieti kiekvieną iš jų su reikiamais SSL.
Tarp standarto privalumų ekspertai taip pat pažymi keletą . Jie turi užtikrinti, kad SSL sertifikatai būtų išduodami tik tikriems domenų savininkams. Visų pirma, plėtinių rinkinys naudojamas apsaugoti nuo DNS atakų , o siekiant apsisaugoti nuo DoS, standartas riboja atskirų užklausų vykdymo greitį – pavyzdžiui, HTTP metodui . patys ACME kūrėjai Norėdami pagerinti saugumą, pridėkite entropiją prie DNS užklausų ir vykdykite jas iš kelių tinklo taškų.
Panašūs sprendimai
Protokolai taip pat naudojami sertifikatams gauti и .
Pirmasis buvo sukurtas Cisco Systems. Jos tikslas buvo supaprastinti X.509 skaitmeninių sertifikatų išdavimo procedūrą ir padaryti ją kuo labiau keičiamą. Prieš SCEP šiame procese reikėjo aktyvaus sistemos administratorių dalyvavimo ir jis nebuvo tinkamai išplėstas. Šiandien šis protokolas yra vienas iš labiausiai paplitusių.
Kalbant apie EST, tai leidžia PKI klientams gauti sertifikatus saugiais kanalais. Jis naudoja TLS pranešimams perduoti ir SSL išdavimui, taip pat CSR susiejimui su siuntėju. Be to, EST palaiko elipsinės kriptografijos metodus, kurie sukuria papildomą saugumo lygį.
Apie , tokie sprendimai kaip ACME turės tapti plačiau paplitę. Jie siūlo supaprastintą ir saugų SSL sąrankos modelį ir pagreitina procesą.
Papildomi įrašai iš mūsų įmonės tinklaraščio:
Šaltinis: www.habr.com