Aprovado pela IETF Ambiente de gerenciamento automático de certificados (ACME), que ajudará a automatizar o recebimento de certificados SSL. Vamos contar como funciona.
/flickr/ /
Por que o padrão foi necessário?
Média por configuração para um domínio, o administrador pode gastar de uma a três horas. Se cometer um erro, terá que esperar até que o pedido seja rejeitado, só então poderá ser submetido novamente. Tudo isso dificulta a implantação de sistemas em grande escala.
O procedimento de validação de domínio para cada autoridade de certificação pode ser diferente. A falta de padronização às vezes leva a problemas de segurança. Famoso quando, devido a um bug no sistema, uma CA verificou todos os domínios declarados. Nessas situações, os certificados SSL podem ser emitidos para recursos fraudulentos.
Protocolo ACME aprovado pela IETF (especificação ) deverá automatizar e padronizar o processo de obtenção de um certificado. E a eliminação do fator humano ajudará a aumentar a confiabilidade e a segurança da verificação de nomes de domínio.
O padrão é aberto e qualquer pessoa pode contribuir para o seu desenvolvimento. EM Instruções relevantes foram publicadas.
Как это работает
As solicitações são trocadas no ACME por HTTPS usando mensagens JSON. Para trabalhar com o protocolo, é necessário instalar o cliente ACME no nó de destino; ele gera um par de chaves exclusivo na primeira vez que você acessa a CA. Posteriormente, eles serão utilizados para assinar todas as mensagens do cliente e do servidor.
A primeira mensagem contém informações de contato sobre o proprietário do domínio. Ele é assinado com a chave privada e enviado ao servidor junto com a chave pública. Verifica a autenticidade da assinatura e, se tudo estiver em ordem, inicia o procedimento de emissão do certificado SSL.
Para obter um certificado, o cliente deve provar ao servidor que é proprietário do domínio. Para fazer isso, ele realiza determinadas ações disponíveis apenas para o proprietário. Por exemplo, uma autoridade certificadora pode gerar um token exclusivo e solicitar ao cliente que o coloque no site. Em seguida, a CA emite uma consulta web ou DNS para recuperar a chave desse token.
Por exemplo, no caso do HTTP, a chave do token deve ser colocada em um arquivo que será servido pelo servidor web. Durante a verificação do DNS, a autoridade de certificação procurará uma chave exclusiva no documento de texto do registro DNS. Se tudo estiver bem, o servidor confirma que o cliente foi validado e a CA emite um certificado.
/flickr/ /
Opiniões
Em IETF, ACME será útil para administradores que precisam trabalhar com vários nomes de domínio. O padrão ajudará a vincular cada um deles aos SSLs necessários.
Entre as vantagens da norma, os especialistas também destacam diversas . Eles devem garantir que os certificados SSL sejam emitidos apenas para proprietários de domínios genuínos. Em particular, um conjunto de extensões é usado para proteger contra ataques de DNS , e para proteção contra DoS, o padrão limita a velocidade de execução de solicitações individuais - por exemplo, HTTP para o método . Os próprios desenvolvedores ACME Para melhorar a segurança, adicione entropia às consultas DNS e execute-as em vários pontos da rede.
Soluções semelhantes
Protocolos também são usados para obter certificados и .
O primeiro foi desenvolvido na Cisco Systems. Seu objetivo era simplificar o procedimento de emissão de certificados digitais X.509 e torná-lo o mais escalável possível. Antes do SCEP, esse processo exigia a participação ativa dos administradores de sistema e não era bem dimensionado. Hoje este protocolo é um dos mais comuns.
Quanto ao EST, permite que os clientes PKI obtenham certificados através de canais seguros. Ele usa TLS para transferência de mensagens e emissão de SSL, bem como para vincular o CSR ao remetente. Além disso, EST oferece suporte a métodos de criptografia elíptica, o que cria uma camada adicional de segurança.
Em , soluções como o ACME precisarão se tornar mais difundidas. Eles oferecem um modelo de configuração SSL simplificado e seguro e também aceleram o processo.
Postagens adicionais do nosso blog corporativo:
Fonte: habr.com