IETF approvat Ambjent Awtomatiku tal-Ġestjoni taċ-Ċertifikati (ACME), li se jgħin biex jiġi awtomatizzat ir-riċevuta taċ-ċertifikati SSL. Ejja ngħidulek kif taħdem.
/Flickr/ /
Għaliex kien meħtieġ l-istandard?
Medja għal kull setting għal dominju, l-amministratur jista 'jqatta' minn siegħa sa tliet sigħat. Jekk tagħmel żball, ikollok tistenna sakemm l-applikazzjoni tiġi miċħuda, allura biss tista’ terġa’ tiġi sottomessa. Dan kollu jagħmilha diffiċli biex jintużaw sistemi fuq skala kbira.
Il-proċedura ta' validazzjoni tad-dominju għal kull awtorità ta' ċertifikazzjoni tista' tkun differenti. Nuqqas ta' standardizzazzjoni kultant iwassal għal problemi ta' sigurtà. Famuż meta, minħabba bug fis-sistema, CA waħda vverifikat id-dominji kollha ddikjarati. F'sitwazzjonijiet bħal dawn, ċertifikati SSL jistgħu jinħarġu għal riżorsi frawdolenti.
Protokoll ACME approvat mill-IETF (speċifikazzjoni ) għandha awtomat u tistandardizza l-proċess tal-kisba ta' ċertifikat. U l-eliminazzjoni tal-fattur uman se tgħin biex tiżdied l-affidabbiltà u s-sigurtà tal-verifika tal-isem tad-dominju.
L-istandard huwa miftuħ u kulħadd jista’ jikkontribwixxi għall-iżvilupp tiegħu. IN Ġew ippubblikati struzzjonijiet rilevanti.
Kif taħdem din
It-talbiet jiġu skambjati f'ACME fuq HTTPS bl-użu ta' messaġġi JSON. Biex taħdem mal-protokoll, għandek bżonn tinstalla l-klijent ACME fuq in-nodu fil-mira; jiġġenera par ta 'ċwievet uniku l-ewwel darba li taċċessa l-CA. Sussegwentement, se jintużaw biex jiffirmaw il-messaġġi kollha mill-klijent u s-server.
L-ewwel messaġġ fih informazzjoni ta' kuntatt dwar is-sid tad-dominju. Huwa ffirmat biċ-ċavetta privata u mibgħuta lis-server flimkien maċ-ċavetta pubblika. Jivverifika l-awtentiċità tal-firma u, jekk kollox ikun tajjeb, jibda l-proċedura għall-ħruġ ta 'ċertifikat SSL.
Biex jikseb ċertifikat, il-klijent irid jipprova lis-server li huwa sid id-dominju. Biex tagħmel dan, huwa jwettaq ċerti azzjonijiet disponibbli biss għas-sid. Pereżempju, awtorità taċ-ċertifikat tista' tiġġenera token uniku u titlob lill-klijent biex ipoġġih fuq is-sit. Sussegwentement, is-CA toħroġ mistoqsija tal-web jew DNS biex tirkupra ċ-ċavetta minn dan it-token.
Pereżempju, fil-każ ta 'HTTP, iċ-ċavetta mit-token trid titqiegħed f'fajl li se jiġi notifikat mis-server tal-web. Matul il-verifika tad-DNS, l-awtorità taċ-ċertifikazzjoni se tfittex ċavetta unika fid-dokument tat-test tar-rekord DNS. Jekk kollox ikun tajjeb, is-server jikkonferma li l-klijent ġie vvalidat u s-CA toħroġ ċertifikat.
/Flickr/ /
opinjonijiet
Fuq IETF, ACME se jkunu utli għall-amministraturi li għandhom jaħdmu b'ismijiet ta 'dominju multipli. L-istandard se jgħin biex jgħaqqad kull wieħed minnhom mal-SSLs meħtieġa.
Fost il-vantaġġi tal-istandard, l-esperti jinnotaw ukoll diversi . Għandhom jiżguraw li ċ-ċertifikati SSL jinħarġu biss lis-sidien tad-dominju ġenwini. B'mod partikolari, sett ta' estensjonijiet jintuża biex jipproteġi kontra attakki DNS , u biex jipproteġi kontra DoS, l-istandard jillimita l-veloċità ta 'eżekuzzjoni ta' talbiet individwali - pereżempju, HTTP għall-metodu . iżviluppaturi ACME infushom Biex ittejjeb is-sigurtà, żid l-entropija mal-mistoqsijiet DNS u eżegwihom minn punti multipli fuq in-netwerk.
Soluzzjonijiet simili
Il-Protokolli jintużaw ukoll biex jinkisbu ċertifikati и .
L-ewwel ġie żviluppat f'Cisco Systems. L-għan tagħha kien li tissimplifika l-proċedura għall-ħruġ taċ-ċertifikati diġitali X.509 u tagħmilha skalabbli kemm jista' jkun. Qabel SCEP, dan il-proċess kien jeħtieġ il-parteċipazzjoni attiva tal-amministraturi tas-sistema u ma skalax tajjeb. Illum dan il-protokoll huwa wieħed mill-aktar komuni.
Fir-rigward tal-EST, tippermetti lill-klijenti tal-PKI jiksbu ċertifikati fuq kanali sikuri. Juża TLS għat-trasferiment tal-messaġġi u l-ħruġ tal-SSL, kif ukoll biex jorbot is-CSR mal-mittent. Barra minn hekk, EST jappoġġja metodi ta 'kriptografija ellittika, li toħloq saff addizzjonali ta' sigurtà.
Fuq , soluzzjonijiet bħall-ACME se jeħtieġu li jsiru aktar mifruxa. Huma joffru mudell ta 'setup SSL simplifikat u sikur u wkoll iħaffu l-proċess.
Postijiet addizzjonali mill-blog korporattiv tagħna:
Sors: www.habr.com