Nankatoavin'ny IETF Automatic Certificate Management Environment (ACME), izay hanampy amin'ny automatique ny fahazoana mari-pankasitrahana SSL. Andeha holazainay aminao ny fomba fiasany.
/flickr/ /
Nahoana no nilaina ny fenitra?
Salan'isa isaky ny toe-javatra ho an'ny sehatra iray, afaka mandany adiny iray ka hatramin'ny adiny telo ny mpitantana. Raha manao fahadisoana ianao dia tsy maintsy miandry mandra-pahatongan'ny fandavana ny fangatahana, vao azo apetraka indray. Izany rehetra izany dia manasarotra ny fametrahana rafitra lehibe.
Mety tsy mitovy ny fomba fiasa fanamarinana sehatra ho an'ny fahefana fanamarinana tsirairay. Ny tsy fahampian'ny fanara-penitra indraindray dia miteraka olana amin'ny fiarovana. olo-malaza rehefa, noho ny bibikely ao amin'ny rafitra, CA iray no nanamarina ny sehatra rehetra nambara. Amin'ny toe-javatra toy izany, ny mari-pankasitrahana SSL dia azo omena amin'ny loharanon-karena hosoka.
IETF nankatoavin'ny ACME protocol (specification ) dia tokony hanao automatique sy hanara-penitra ny fizotran'ny fahazoana taratasy fanamarinana. Ary ny fanafoanana ny maha-olombelona dia hanampy amin'ny fampitomboana ny fahatokisana sy ny fiarovana ny fanamarinana ny anaran'ny sehatra.
Misokatra ny fenitra ary afaka mandray anjara amin'ny fampandrosoana azy ny rehetra. IN Navoaka ny toromarika mifandraika amin'izany.
Inona no manao izany asa
Ny fangatahana dia mifanakalo amin'ny ACME amin'ny HTTPS mampiasa hafatra JSON. Mba hiasa miaraka amin'ny protocole dia mila mametraka ny mpanjifa ACME amin'ny node kendrena ianao; miteraka mpivady fanalahidy tokana izy io amin'ny fotoana voalohany hidiranao amin'ny CA. Aorian'izay dia hampiasaina hanasonia ny hafatra rehetra avy amin'ny mpanjifa sy ny mpizara izy ireo.
Ny hafatra voalohany dia misy fampahafantarana mifandray amin'ny tompon'ny sehatra. Voasonia miaraka amin'ny lakile manokana ary alefa any amin'ny mpizara miaraka amin'ny fanalahidin'ny daholobe. Izy io dia manamarina ny maha-azo itokiana ny sonia ary, raha milamina ny zava-drehetra, dia manomboka ny fomba famoahana taratasy fanamarinana SSL.
Mba hahazoana mari-pankasitrahana, ny mpanjifa dia tsy maintsy manaporofo amin'ny mpizara fa azy ny sehatra. Mba hanaovana izany, dia manao hetsika sasany tsy misy afa-tsy ny tompony. Ohatra, ny manam-pahefana certificat dia afaka mamorona marika tokana ary mangataka ny mpanjifa hametraka izany ao amin'ny tranokala. Manaraka izany, ny CA dia mamoaka fangatahana tranonkala na DNS mba haka ny lakile avy amin'ity marika ity.
Ohatra, amin'ny tranga HTTP, ny lakile avy amin'ny famantarana dia tsy maintsy apetraka ao anaty rakitra iray izay hatolotry ny mpizara tranonkala. Mandritra ny fanamarinana DNS, ny manam-pahefana fanamarinana dia hitady fanalahidy tokana ao amin'ny antontan-taratasy momba ny rakitra DNS. Raha tsara ny zava-drehetra, dia manamafy ny mpizara fa voamarina ny mpanjifa ary ny CA dia mamoaka taratasy fanamarinana.
/flickr/ /
Opinions
amin'ny IETF, ACME dia ilaina ho an'ny mpitantana izay tsy maintsy miasa amin'ny anarana sehatra maro. Ny fenitra dia hanampy amin'ny fampifandraisana ny tsirairay amin'izy ireo amin'ny SSL ilaina.
Anisan'ny tombony amin'ny fenitra, ny manam-pahaizana dia manamarika maromaro ihany koa . Tsy maintsy miantoka izy ireo fa ny certificat SSL dia omena afa-tsy amin'ny tompon'ny sehatra tena izy. Indrindra indrindra, misy fanitarana iray ampiasaina hiarovana amin'ny fanafihana DNS , ary mba hiarovana amin'ny DoS, ny fenitra dia mametra ny hafainganan'ny fanatanterahana ny fangatahana tsirairay - ohatra, HTTP ho an'ny fomba . ACME developer ny tenany Mba hanatsarana ny fiarovana, ampio entropy amin'ny fangatahana DNS ary tanteraho avy amin'ny teboka maro ao amin'ny tambajotra.
Vahaolana mitovy
Ampiasaina ihany koa ny protocols hahazoana mari-pankasitrahana ΠΈ .
Ny voalohany dia novolavolaina tao amin'ny Cisco Systems. Ny tanjony dia ny hanatsorana ny fomba famoahana ny mari-pankasitrahana nomerika X.509 ary hanao izany araka izay azo atao. Talohan'ny SCEP, ity dingana ity dia nitaky ny fandraisana anjara mavitrika amin'ny mpitantana ny rafitra ary tsy nitombo tsara. Ankehitriny ity protocol ity dia iray amin'ireo mahazatra indrindra.
Raha ny momba ny EST, dia ahafahan'ny mpanjifa PKI mahazo mari-pankasitrahana amin'ny fantsona azo antoka. Mampiasa TLS ho an'ny fandefasana hafatra sy famoahana SSL izy io, ary koa hamatotra ny CSR amin'ny mpandefa. Ankoatr'izay, ny EST dia manohana ny fomba kriptografika elliptic, izay mamorona fiarovana fanampiny.
amin'ny , ny vahaolana toy ny ACME dia mila miparitaka bebe kokoa. Manolotra modely fananganana SSL mora sy azo antoka izy ireo ary manafaingana ny dingana.
Lahatsoratra fanampiny avy amin'ny bilaogin'ny orinasanay:
Source: www.habr.com