Одобрено од IETF Автоматска средина за управување со сертификати (ACME), која ќе помогне да се автоматизира приемот на SSL сертификати. Ајде да ви кажеме како функционира.
/фликр/ /
Зошто беше потребен стандардот?
Просек по поставка за домен, администраторот може да помине од еден до три часа. Ако згрешите, ќе треба да почекате додека апликацијата не биде одбиена, дури потоа може повторно да се поднесе. Сето ова го отежнува распоредувањето на големи системи.
Постапката за валидација на доменот може да се разликува за секој орган за сертификација. Недостатокот на стандардизација понекогаш доведува до безбедносни проблеми. Познати кога, поради грешка во системот, еден CA ги потврди сите декларирани домени. Во такви ситуации, SSL сертификатите може да се издаваат на лажни ресурси.
ACME протокол одобрен од IETF (спецификација ) треба да го автоматизира и стандардизира процесот на добивање сертификат. И елиминирањето на човечкиот фактор ќе помогне да се зголеми веродостојноста и безбедноста на верификацијата на името на доменот.
Стандардот е отворен и секој може да придонесе за неговиот развој. ВО објавени се упатства.
Како го прави ова дело
Барањата во ACME се разменуваат преку HTTPS користејќи JSON пораки. За да работите со протоколот, треба да инсталирате ACME клиент на целниот јазол; тој генерира уникатен пар клучеви првиот пат кога ќе пристапи до CA. Потоа, тие ќе се користат за потпишување на сите пораки на клиентот и серверот.
Првата порака содржи информации за контакт за сопственикот на доменот. Се потпишува со приватниот клуч и се испраќа до серверот заедно со јавниот клуч. Ја проверува автентичноста на потписот и доколку се е во ред започнува процедура за издавање SSL сертификат.
За да добие сертификат, клиентот мора да му докаже на серверот дека го поседува доменот. За да го направите ова, тој врши одредени дејства кои се достапни само на сопственикот. На пример, органот за сертификати може да генерира единствен токен и да побара од клиентот да го постави на страницата. Следно, CA издава веб или DNS барање за да го извлече клучот од овој токен.
На пример, во случај на HTTP, клучот од токенот мора да биде сместен во датотека што ќе ја опслужува веб-серверот. За време на DNS-верификацијата, органот за сертификација ќе бара единствен клуч во текстуалниот документ на записот DNS. Ако сè е во ред, серверот потврдува дека клиентот е потврден и CA издава сертификат.
/фликр/ /
Мислења
На IETF, ACME ќе бидат корисни за администраторите кои треба да работат со повеќе имиња на домени. Стандардот ќе помогне да се поврзе секој од нив со саканиот SSL.
Меѓу предностите на стандардот, експертите забележуваат и неколку . Тие мора да обезбедат SSL сертификатите да се издаваат само на вистинските регистратори. Конкретно, збир на екстензии се користи за заштита од DNS напади. , и за заштита од DoS, стандардот ја ограничува брзината на извршување на поединечни барања - на пример, HTTP за методот . Самите програмери на ACME за да ја зголемите безбедноста, додадете ентропија на барањата за DNS и извршете ги од неколку точки во мрежата.
Слични решенија
За добивање сертификати се користат и протоколи. и .
Првиот беше развиен од Cisco Systems. Неговата цел беше да ја поедностави процедурата за издавање дигитални сертификати X.509 и да ја направи што е можно поскалабилна. Пред појавата на SCEP, овој процес бараше активно учество на системските администратори и не беше добро размерен. Денес, овој протокол е еден од најчестите.
Што се однесува до EST, тој им овозможува на клиентите на PKI да добијат сертификати преку безбедни канали. Користи TLS за испраќање пораки и издавање SSL, како и за врзување на CSR со испраќачот. Покрај тоа, EST поддржува методи на елиптична криптографија, што создава дополнителен слој на заштита.
На , решенијата како ACME ќе треба да бидат пошироко прифатени. Тие нудат поедноставен и безбеден модел за поставување SSL и исто така го забрзуваат процесот.
Дополнителни објави од нашиот корпоративен блог:
Извор: www.habr.com