Aprobat IETF Automatic Certificate Management Environment (ACME), care va ajuta la automatizarea primirii certificatelor SSL. Să vă spunem cum funcționează.
/Flickr/ /
De ce a fost necesar standardul?
Medie pe setare pentru un domeniu, administratorul poate petrece de la una la trei ore. Daca gresesti, va trebui sa astepti pana cand cererea este respinsa, abia dupa care poate fi depusa din nou. Toate acestea fac dificilă implementarea sistemelor la scară largă.
Procedura de validare a domeniului pentru fiecare autoritate de certificare poate diferi. Lipsa standardizării duce uneori la probleme de securitate. faimos când, din cauza unei erori în sistem, un CA a verificat toate domeniile declarate. În astfel de situații, certificatele SSL pot fi emise pentru resurse frauduloase.
Protocolul ACME aprobat de IETF (specificație ) ar trebui să automatizeze și să standardizeze procesul de obținere a unui certificat. Iar eliminarea factorului uman va contribui la creșterea fiabilității și securității verificării numelor de domeniu.
Standardul este deschis și oricine poate contribui la dezvoltarea lui. ÎN Au fost publicate instrucțiuni relevante.
Cum funcționează
Solicitările sunt schimbate în ACME prin HTTPS folosind mesaje JSON. Pentru a lucra cu protocolul, trebuie să instalați clientul ACME pe nodul țintă; acesta generează o pereche de chei unică prima dată când accesați CA. Ulterior, acestea vor fi folosite pentru a semna toate mesajele de la client și server.
Primul mesaj conține informații de contact despre proprietarul domeniului. Este semnat cu cheia privată și trimis la server împreună cu cheia publică. Verifică autenticitatea semnăturii și, dacă totul este în regulă, începe procedura de eliberare a unui certificat SSL.
Pentru a obține un certificat, clientul trebuie să dovedească serverului că deține domeniul. Pentru a face acest lucru, el efectuează anumite acțiuni disponibile numai proprietarului. De exemplu, o autoritate de certificare poate genera un token unic și poate cere clientului să-l plaseze pe site. Apoi, CA emite o interogare web sau DNS pentru a prelua cheia de pe acest token.
De exemplu, în cazul HTTP, cheia de la token trebuie plasată într-un fișier care va fi servit de serverul web. În timpul verificării DNS, autoritatea de certificare va căuta o cheie unică în documentul text al înregistrării DNS. Dacă totul este în regulă, serverul confirmă că clientul a fost validat și CA emite un certificat.
/Flickr/ /
opinii
Pe IETF, ACME vor fi utile pentru administratorii care trebuie să lucreze cu mai multe nume de domenii. Standardul va ajuta la conectarea fiecăruia dintre ele la SSL-urile necesare.
Printre avantajele standardului, experții notează și câteva . Ei trebuie să se asigure că certificatele SSL sunt emise numai proprietarilor autentici de domenii. În special, un set de extensii este folosit pentru a proteja împotriva atacurilor DNS și pentru a proteja împotriva DoS, standardul limitează viteza de execuție a cererilor individuale - de exemplu, HTTP pentru metoda . Dezvoltatorii ACME înșiși Pentru a îmbunătăți securitatea, adăugați entropie la interogările DNS și executați-le din mai multe puncte din rețea.
Soluții similare
Protocoalele sunt, de asemenea, folosite pentru a obține certificate и .
Primul a fost dezvoltat la Cisco Systems. Scopul său a fost de a simplifica procedura de emitere a certificatelor digitale X.509 și de a o face cât mai scalabilă. Înainte de SCEP, acest proces necesita participarea activă a administratorilor de sistem și nu sa extins bine. Astăzi, acest protocol este unul dintre cele mai comune.
În ceea ce privește EST, acesta permite clienților PKI să obțină certificate prin canale securizate. Utilizează TLS pentru transferul de mesaje și emiterea SSL, precum și pentru a lega CSR-ul de expeditor. În plus, EST acceptă metode de criptografie eliptică, ceea ce creează un strat suplimentar de securitate.
Pe , soluțiile precum ACME vor trebui să devină mai răspândite. Ele oferă un model de configurare SSL simplificat și sigur și, de asemenea, accelerează procesul.
Postări suplimentare de pe blogul nostru corporativ:
Sursa: www.habr.com