IETF-goedgekeurd Automatic Certificate Management Environment (ACME), dat de ontvangst van SSL-certificaten helpt automatiseren. Laten we je vertellen hoe het werkt.
/flickr/ /
Waarom was de standaard nodig?
Gemiddeld per instelling voor een domein kan de beheerder één tot drie uur besteden. Als u een fout maakt, moet u wachten tot de aanvraag is afgewezen. Pas daarna kunt u de aanvraag opnieuw indienen. Dit alles maakt het moeilijk om grootschalige systemen in te zetten.
De domeinvalidatieprocedure kan per certificeringsinstantie verschillen. Gebrek aan standaardisatie leidt soms tot beveiligingsproblemen. Bekend toen, als gevolg van een bug in het systeem, één CA alle gedeclareerde domeinen verifieerde. In dergelijke situaties kunnen SSL-certificaten worden uitgegeven aan frauduleuze bronnen.
Door IETF goedgekeurd ACME-protocol (specificatie ) moet het proces voor het verkrijgen van een certificaat automatiseren en standaardiseren. En het elimineren van de menselijke factor zal de betrouwbaarheid en veiligheid van de verificatie van domeinnamen helpen vergroten.
De standaard is open en iedereen kan bijdragen aan de ontwikkeling ervan. IN Relevante instructies zijn gepubliceerd.
Hoe werkt dit
Verzoeken worden in ACME via HTTPS uitgewisseld met behulp van JSON-berichten. Om met het protocol te kunnen werken, moet u de ACME-client op het doelknooppunt installeren; deze genereert een uniek sleutelpaar wanneer u voor de eerste keer toegang krijgt tot de CA. Vervolgens worden ze gebruikt om alle berichten van de client en server te ondertekenen.
Het eerste bericht bevat contactgegevens van de domeineigenaar. Het wordt ondertekend met de privésleutel en samen met de openbare sleutel naar de server verzonden. Het verifieert de authenticiteit van de handtekening en start, als alles in orde is, de procedure voor de uitgifte van een SSL-certificaat.
Om een certificaat te verkrijgen, moet de klant aan de server bewijzen dat hij eigenaar is van het domein. Om dit te doen, voert hij bepaalde acties uit die alleen beschikbaar zijn voor de eigenaar. Een certificeringsinstantie kan bijvoorbeeld een uniek token genereren en de klant vragen dit op de site te plaatsen. Vervolgens geeft de CA een web- of DNS-query uit om de sleutel uit dit token op te halen.
In het geval van HTTP moet de sleutel uit het token bijvoorbeeld in een bestand worden geplaatst dat door de webserver wordt aangeboden. Tijdens DNS-verificatie zoekt de certificeringsinstantie naar een unieke sleutel in het tekstdocument van het DNS-record. Als alles in orde is, bevestigt de server dat de client gevalideerd is en geeft de CA een certificaat af.
/flickr/ /
Bekeken
Op IETF, ACME zal nuttig zijn voor beheerders die met meerdere domeinnamen moeten werken. De standaard helpt ze allemaal te koppelen aan de vereiste SSL's.
Onder de voordelen van de standaard merken experts ook verschillende op . Ze moeten ervoor zorgen dat SSL-certificaten alleen aan echte domeineigenaren worden uitgegeven. Er wordt met name een reeks extensies gebruikt om te beschermen tegen DNS-aanvallen , en om te beschermen tegen DoS beperkt de standaard de snelheid van uitvoering van individuele verzoeken, bijvoorbeeld HTTP voor de methode . ACME-ontwikkelaars zelf Om de beveiliging te verbeteren, voegt u entropie toe aan DNS-query's en voert u deze uit vanaf meerdere punten in het netwerk.
Soortgelijke oplossingen
Ook voor het verkrijgen van certificaten worden protocollen gebruikt и .
De eerste is ontwikkeld bij Cisco Systems. Het doel was om de procedure voor het uitgeven van digitale X.509-certificaten te vereenvoudigen en deze zo schaalbaar mogelijk te maken. Vóór SCEP vereiste dit proces de actieve deelname van systeembeheerders en was het niet goed schaalbaar. Tegenwoordig is dit protocol een van de meest voorkomende.
Wat EST betreft, het stelt PKI-clients in staat certificaten te verkrijgen via beveiligde kanalen. Het maakt gebruik van TLS voor berichtoverdracht en SSL-uitgifte, en om de CSR aan de afzender te binden. Bovendien ondersteunt EST elliptische cryptografiemethoden, wat een extra beveiligingslaag creëert.
Op zullen oplossingen zoals ACME op grotere schaal moeten worden toegepast. Ze bieden een vereenvoudigd en veilig SSL-installatiemodel en versnellen ook het proces.
Aanvullende berichten van onze bedrijfsblog:
Bron: www.habr.com