IETF apstiprināts Automātiskā sertifikātu pārvaldības vide (ACME), kas palīdzēs automatizēt SSL sertifikātu saņemšanu. Pastāstīsim, kā tas darbojas.
/flickr/ /
Kāpēc bija vajadzīgs standarts?
Vidējais katram iestatījumam domēnam administrators var pavadīt no vienas līdz trim stundām. Ja kļūdīsies, būs jāgaida, līdz pieteikums tiks noraidīts, tikai pēc tam to varēs iesniegt vēlreiz. Tas viss apgrūtina liela mēroga sistēmu izvietošanu.
Domēna validācijas procedūra katrai sertifikācijas iestādei var atšķirties. Standartizācijas trūkums dažkārt rada drošības problēmas. Slavens kad sistēmas kļūdas dēļ viens CA pārbaudīja visus deklarētos domēnus. Šādās situācijās krāpnieciskiem resursiem var tikt izsniegti SSL sertifikāti.
IETF apstiprināts ACME protokols (specifikācija ) vajadzētu automatizēt un standartizēt sertifikāta iegūšanas procesu. Un cilvēciskā faktora novēršana palīdzēs palielināt domēna vārda verifikācijas uzticamību un drošību.
Standarts ir atvērts, un ikviens var dot savu ieguldījumu tā izstrādē. IN Attiecīgās instrukcijas ir publicētas.
Kā tas darbojas
Pieprasījumi tiek apmainīti ACME, izmantojot HTTPS, izmantojot JSON ziņojumus. Lai strādātu ar protokolu, mērķa mezglā jāinstalē ACME klients; tas ģenerē unikālu atslēgu pāri, kad pirmo reizi piekļūstat CA. Pēc tam tie tiks izmantoti, lai parakstītu visus ziņojumus no klienta un servera.
Pirmajā ziņojumā ir norādīta domēna īpašnieka kontaktinformācija. Tas tiek parakstīts ar privāto atslēgu un nosūtīts serverim kopā ar publisko atslēgu. Tas pārbauda paraksta autentiskumu un, ja viss ir kārtībā, sāk SSL sertifikāta izsniegšanas procedūru.
Lai iegūtu sertifikātu, klientam ir jāpierāda serverim, ka viņam pieder domēns. Lai to izdarītu, viņš veic noteiktas darbības, kas pieejamas tikai īpašniekam. Piemēram, sertifikācijas iestāde var ģenerēt unikālu pilnvaru un lūgt klientam to ievietot vietnē. Pēc tam CA izdod tīmekļa vai DNS vaicājumu, lai izgūtu atslēgu no šī marķiera.
Piemēram, HTTP gadījumā atslēga no pilnvaras ir jāievieto failā, kuru apkalpos tīmekļa serveris. DNS verifikācijas laikā sertifikācijas iestāde DNS ieraksta teksta dokumentā meklēs unikālu atslēgu. Ja viss ir kārtībā, serveris apstiprina, ka klients ir pārbaudīts, un CA izsniedz sertifikātu.
/flickr/ /
Atzinumi
Par IETF, ACME noderēs administratoriem, kuriem jāstrādā ar vairākiem domēna nosaukumiem. Standarts palīdzēs saistīt katru no tiem ar nepieciešamajiem SSL.
Starp standarta priekšrocībām eksperti atzīmē arī vairākas . Viņiem ir jānodrošina, ka SSL sertifikāti tiek izsniegti tikai īstiem domēna īpašniekiem. Jo īpaši, lai aizsargātu pret DNS uzbrukumiem, tiek izmantots paplašinājumu komplekts , un, lai aizsargātu pret DoS, standarts ierobežo atsevišķu pieprasījumu izpildes ātrumu - piemēram, HTTP metodei . paši ACME izstrādātāji Lai uzlabotu drošību, pievienojiet DNS vaicājumiem entropiju un izpildiet tos no vairākiem tīkla punktiem.
Līdzīgi risinājumi
Sertifikātu iegūšanai tiek izmantoti arī protokoli и .
Pirmais tika izstrādāts uzņēmumā Cisco Systems. Tās mērķis bija vienkāršot X.509 digitālo sertifikātu izsniegšanas procedūru un padarīt to pēc iespējas mērogojamu. Pirms SCEP šim procesam bija nepieciešama sistēmas administratoru aktīva līdzdalība, un tas nebija labi mērogots. Mūsdienās šis protokols ir viens no visizplatītākajiem.
Kas attiecas uz EST, tas ļauj PKI klientiem iegūt sertifikātus, izmantojot drošus kanālus. Tas izmanto TLS ziņojumu pārsūtīšanai un SSL izsniegšanai, kā arī CSR saistīšanai ar sūtītāju. Turklāt EST atbalsta eliptiskās kriptogrāfijas metodes, kas rada papildu drošības slāni.
Par , tādiem risinājumiem kā ACME būs jākļūst plašāk izplatītiem. Tie piedāvā vienkāršotu un drošu SSL iestatīšanas modeli, kā arī paātrina procesu.
Papildu ziņas no mūsu korporatīvā emuāra:
Avots: www.habr.com