Zatwierdzony przez IETF Automatyczne środowisko zarządzania certyfikatami (ACME), które pomoże zautomatyzować odbiór certyfikatów SSL. Powiemy ci, jak to działa.
/flickr/ /
Dlaczego potrzebny był standard?
Średnia na ustawienie dla domeny administrator może poświęcić od jednej do trzech godzin. Jeśli popełnisz błąd, będziesz musiał poczekać, aż wniosek zostanie odrzucony, dopiero potem można go złożyć ponownie. Wszystko to utrudnia wdrażanie systemów na dużą skalę.
Procedura walidacji domeny może się różnić dla każdego urzędu certyfikacji. Brak standaryzacji czasami prowadzi do problemów z bezpieczeństwem. Słynny kiedy z powodu błędu w systemie jeden CA zweryfikował wszystkie zadeklarowane domeny. W takich sytuacjach certyfikaty SSL mogą być wydawane oszukańczym zasobom.
Protokół ACME zatwierdzony przez IETF (specyfikacja ) powinny zautomatyzować i ujednolicić proces uzyskiwania certyfikatu. A wyeliminowanie czynnika ludzkiego pomoże zwiększyć niezawodność i bezpieczeństwo weryfikacji nazwy domeny.
Standard ma charakter otwarty i każdy może przyczynić się do jego rozwoju. W opublikowano instrukcje.
Jak to działa
Żądania w ACME są wymieniane przez HTTPS przy użyciu komunikatów JSON. Aby pracować z protokołem, musisz zainstalować klienta ACME w węźle docelowym; generuje on unikalną parę kluczy przy pierwszym dostępie do urzędu certyfikacji. Następnie będą one używane do podpisywania wszystkich wiadomości klienta i serwera.
Pierwsza wiadomość zawiera dane kontaktowe właściciela domeny. Jest on podpisany kluczem prywatnym i wysyłany na serwer wraz z kluczem publicznym. Sprawdza autentyczność podpisu i jeśli wszystko jest w porządku, rozpoczyna procedurę wystawienia certyfikatu SSL.
Aby uzyskać certyfikat, klient musi udowodnić serwerowi, że jest właścicielem domeny. Aby to zrobić, wykonuje określone czynności, które są dostępne tylko dla właściciela. Na przykład urząd certyfikacji może wygenerować unikalny token i poprosić klienta o umieszczenie go na stronie. Następnie urząd certyfikacji wysyła zapytanie sieciowe lub DNS w celu wyodrębnienia klucza z tego tokena.
Na przykład w przypadku HTTP klucz z tokena musi zostać umieszczony w pliku, który zostanie obsłużony przez serwer www. Podczas weryfikacji DNS urząd certyfikacji będzie szukał unikalnego klucza w dokumencie tekstowym rekordu DNS. Jeśli wszystko jest w porządku, serwer potwierdza, że klient został zweryfikowany, a urząd certyfikacji wystawia certyfikat.
/flickr/ /
opinie
Na IETF, ACME będą przydatne dla administratorów, którzy muszą pracować z wieloma nazwami domen. Standard pomoże powiązać każdy z nich z pożądanym SSL.
Wśród zalet standardu eksperci zauważają również kilka . Muszą zapewnić, że certyfikaty SSL są wydawane tylko rzeczywistym rejestrującym. W szczególności zestaw rozszerzeń służy do ochrony przed atakami DNS. , oraz aby zabezpieczyć się przed DoS, standard ogranicza szybkość wykonywania poszczególnych żądań – np. HTTP dla metody . Sami programiści ACME aby zwiększyć bezpieczeństwo, dodaj entropię do zapytań DNS i wykonuj je z kilku punktów w sieci.
Podobne rozwiązania
Protokoły służą również do uzyskiwania certyfikatów. и .
Pierwszy z nich został opracowany przez Cisco Systems. Jego celem było uproszczenie procedury wydawania certyfikatów cyfrowych X.509 i uczynienie jej jak najbardziej skalowalną. Przed pojawieniem się SCEP proces ten wymagał aktywnego udziału administratorów systemu i nie był dobrze skalowany. Dziś ten protokół jest jednym z najczęstszych.
Jeśli chodzi o EST, umożliwia on klientom PKI uzyskiwanie certyfikatów przez bezpieczne kanały. Wykorzystuje TLS do przesyłania wiadomości i wydawania SSL, a także wiązania CSR z nadawcą. Ponadto EST obsługuje metody kryptografii eliptycznej, co tworzy dodatkową warstwę ochrony.
Na , rozwiązania takie jak ACME będą musiały zostać przyjęte na szerszą skalę. Oferują uproszczony i bezpieczny model konfiguracji SSL, a także przyspieszają proces.
Dodatkowe wpisy z naszego firmowego bloga:
Źródło: www.habr.com