IETF godkjent Automatic Certificate Management Environment (ACME), som vil hjelpe til med å automatisere mottak av SSL-sertifikater. La oss fortelle deg hvordan det fungerer.
/flickr/ /
Hvorfor var standarden nødvendig?
Gjennomsnitt per innstilling for et domene kan administratoren bruke fra én til tre timer. Hvis du gjør en feil, må du vente til søknaden blir avslått, først etter at den kan sendes inn på nytt. Alt dette gjør det vanskelig å distribuere store systemer.
Domenevalideringsprosedyren for hver sertifiseringsinstans kan variere. Mangel på standardisering fører noen ganger til sikkerhetsproblemer. Berømt når, på grunn av en feil i systemet, en CA verifiserte alle deklarerte domenene. I slike situasjoner kan SSL-sertifikater utstedes til uredelige ressurser.
IETF-godkjent ACME-protokoll (spesifikasjon ) bør automatisere og standardisere prosessen med å få et sertifikat. Og eliminering av den menneskelige faktoren vil bidra til å øke påliteligheten og sikkerheten til domenenavnverifisering.
Standarden er åpen og alle kan bidra til utviklingen. I Relevante instruksjoner er publisert.
Hvordan fungerer det
Forespørsler utveksles i ACME over HTTPS ved hjelp av JSON-meldinger. For å jobbe med protokollen må du installere ACME-klienten på målnoden; den genererer et unikt nøkkelpar første gang du får tilgang til CA. Deretter vil de bli brukt til å signere alle meldinger fra klienten og serveren.
Den første meldingen inneholder kontaktinformasjon om domeneeieren. Den signeres med den private nøkkelen og sendes til serveren sammen med den offentlige nøkkelen. Den verifiserer ektheten til signaturen, og hvis alt er i orden, starter prosedyren for å utstede et SSL-sertifikat.
For å få et sertifikat må klienten bevise overfor serveren at han eier domenet. For å gjøre dette utfører han visse handlinger som kun er tilgjengelige for eieren. For eksempel kan en sertifiseringsinstans generere et unikt token og be klienten om å plassere det på nettstedet. Deretter sender CA en web- eller DNS-spørring for å hente nøkkelen fra dette tokenet.
For eksempel, i tilfelle av HTTP, må nøkkelen fra tokenet plasseres i en fil som vil bli servert av webserveren. Under DNS-verifisering vil sertifiseringsmyndigheten se etter en unik nøkkel i tekstdokumentet til DNS-posten. Hvis alt er i orden, bekrefter serveren at klienten er validert og CA utsteder et sertifikat.
/flickr/ /
meninger
På IETF, ACME vil være nyttig for administratorer som må jobbe med flere domenenavn. Standarden vil bidra til å knytte hver av dem til de nødvendige SSL-ene.
Blant fordelene med standarden merker eksperter også flere . De må sørge for at SSL-sertifikater kun utstedes til ekte domeneeiere. Spesielt brukes et sett med utvidelser for å beskytte mot DNS-angrep , og for å beskytte mot DoS, begrenser standarden hastigheten på utførelse av individuelle forespørsler - for eksempel HTTP for metoden . ACME-utviklere selv For å forbedre sikkerheten, legg til entropi til DNS-spørringer og utfør dem fra flere punkter på nettverket.
Lignende løsninger
Protokoller brukes også for å få sertifikater и .
Den første ble utviklet hos Cisco Systems. Målet var å forenkle prosedyren for utstedelse av X.509 digitale sertifikater og gjøre den så skalerbar som mulig. Før SCEP krevde denne prosessen aktiv deltakelse fra systemadministratorer og skalerte ikke godt. I dag er denne protokollen en av de vanligste.
Når det gjelder EST, lar det PKI-klienter få sertifikater over sikre kanaler. Den bruker TLS for meldingsoverføring og SSL-utstedelse, samt for å binde CSR til avsender. I tillegg støtter EST elliptiske kryptografimetoder, som skaper et ekstra lag med sikkerhet.
På , vil løsninger som ACME måtte bli mer utbredt. De tilbyr en forenklet og sikker SSL-oppsettmodell og fremskynder også prosessen.
Ytterligere innlegg fra bedriftsbloggen vår:
Kilde: www.habr.com