IETF diluluskan Persekitaran Pengurusan Sijil Automatik (ACME), yang akan membantu mengautomasikan penerimaan sijil SSL. Mari beritahu anda bagaimana ia berfungsi.
/Flickr/ /
Mengapakah piawaian itu diperlukan?
Purata setiap tetapan untuk domain, pentadbir boleh menghabiskan masa dari satu hingga tiga jam. Sekiranya anda tersilap, anda perlu menunggu sehingga permohonan ditolak, barulah ia boleh dihantar semula. Semua ini menyukarkan untuk menggunakan sistem berskala besar.
Prosedur pengesahan domain untuk setiap pihak berkuasa pensijilan mungkin berbeza. Kekurangan penyeragaman kadangkala membawa kepada masalah keselamatan. Terkenal apabila, disebabkan pepijat dalam sistem, satu CA mengesahkan semua domain yang diisytiharkan. Dalam situasi sedemikian, sijil SSL mungkin dikeluarkan kepada sumber penipuan.
IETF meluluskan protokol ACME (spesifikasi ) harus mengautomasikan dan menyeragamkan proses mendapatkan sijil. Dan menghapuskan faktor manusia akan membantu meningkatkan kebolehpercayaan dan keselamatan pengesahan nama domain.
Standard ini terbuka dan sesiapa sahaja boleh menyumbang kepada pembangunannya. DALAM Arahan yang berkaitan telah diterbitkan.
ΠΠ°ΠΊ ΡΡΠΎ ΡΠ°Π±ΠΎΡΠ°Π΅Ρ
Permintaan ditukar dalam ACME melalui HTTPS menggunakan mesej JSON. Untuk bekerja dengan protokol, anda perlu memasang klien ACME pada nod sasaran; ia menjana pasangan kunci unik pada kali pertama anda mengakses CA. Selepas itu, ia akan digunakan untuk menandatangani semua mesej daripada klien dan pelayan.
Mesej pertama mengandungi maklumat hubungan tentang pemilik domain. Ia ditandatangani dengan kunci peribadi dan dihantar ke pelayan bersama dengan kunci awam. Ia mengesahkan ketulenan tandatangan dan, jika semuanya teratur, memulakan prosedur untuk mengeluarkan sijil SSL.
Untuk mendapatkan sijil, pelanggan mesti membuktikan kepada pelayan bahawa dia memiliki domain tersebut. Untuk melakukan ini, dia melakukan tindakan tertentu yang hanya tersedia untuk pemiliknya. Contohnya, pihak berkuasa sijil boleh menjana token unik dan meminta pelanggan meletakkannya di tapak. Seterusnya, CA mengeluarkan pertanyaan web atau DNS untuk mendapatkan kunci daripada token ini.
Sebagai contoh, dalam kes HTTP, kunci daripada token mesti diletakkan dalam fail yang akan disampaikan oleh pelayan web. Semasa pengesahan DNS, pihak berkuasa pensijilan akan mencari kunci unik dalam dokumen teks rekod DNS. Jika semuanya baik-baik saja, pelayan mengesahkan bahawa klien telah disahkan dan CA mengeluarkan sijil.
/Flickr/ /
pendapat
Pada IETF, ACME akan berguna untuk pentadbir yang perlu bekerja dengan berbilang nama domain. Piawaian ini akan membantu memautkan setiap satu daripadanya kepada SSL yang diperlukan.
Antara kelebihan standard, pakar juga mencatat beberapa . Mereka mesti memastikan bahawa sijil SSL dikeluarkan hanya kepada pemilik domain tulen. Khususnya, satu set sambungan digunakan untuk melindungi daripada serangan DNS , dan untuk melindungi daripada DoS, piawaian mengehadkan kelajuan pelaksanaan permintaan individu - contohnya, HTTP untuk kaedah . pemaju ACME sendiri Untuk meningkatkan keselamatan, tambahkan entropi pada pertanyaan DNS dan laksanakannya dari berbilang titik pada rangkaian.
Penyelesaian yang serupa
Protokol juga digunakan untuk mendapatkan sijil ΠΈ .
Yang pertama dibangunkan di Cisco Systems. Matlamatnya adalah untuk memudahkan prosedur untuk mengeluarkan sijil digital X.509 dan menjadikannya sebagai berskala yang mungkin. Sebelum SCEP, proses ini memerlukan penyertaan aktif pentadbir sistem dan tidak berskala dengan baik. Hari ini protokol ini adalah salah satu yang paling biasa.
Bagi EST, ia membolehkan pelanggan PKI mendapatkan sijil melalui saluran selamat. Ia menggunakan TLS untuk pemindahan mesej dan pengeluaran SSL, serta untuk mengikat CSR kepada pengirim. Di samping itu, EST menyokong kaedah kriptografi eliptik, yang mewujudkan lapisan keselamatan tambahan.
Pada , penyelesaian seperti ACME perlu menjadi lebih meluas. Mereka menawarkan model persediaan SSL yang mudah dan selamat dan juga mempercepatkan proses.
Catatan tambahan dari blog korporat kami:
Sumber: www.habr.com