IETF منظور ٿيل ACME - اهو SSL سرٽيفڪيٽ سان ڪم ڪرڻ لاءِ هڪ معيار آهي

IETF منظور ٿيل معياري خودڪار سرٽيفڪيٽ مئنيجمينٽ ماحول (ACME)، جيڪو SSL سرٽيفڪيٽ جي وصولي کي خودڪار ڪرڻ ۾ مدد ڪندو. اچو ته توهان کي ٻڌايو ته اهو ڪيئن ڪم ڪري ٿو.

/فلڪر/ ڪلف جانسن / CC BY-SA

معيار جي ضرورت ڇو هئي؟

سراسري في سيٽنگ SSL سرٽيفڪيٽ ڊومين لاءِ، منتظم هڪ کان ٽن ڪلاڪن تائين خرچ ڪري سگهي ٿو. جيڪڏهن توهان غلطي ڪريو ٿا، توهان کي انتظار ڪرڻو پوندو جيستائين درخواست رد نه ڪئي وڃي، صرف ان کان پوء ٻيهر جمع ڪري سگهجي ٿو. اهو سڀ ڪجهه وڏي پيماني تي سسٽم کي ترتيب ڏيڻ ڏکيو بڻائي ٿو.

هر سرٽيفڪيشن اٿارٽي لاءِ ڊومين جي تصديق جو طريقو مختلف ٿي سگهي ٿو. معيار جي کوٽ ڪڏهن ڪڏهن سيڪيورٽي مسئلن جي ڪري ٿي. مشهور ڪيسجڏهن، سسٽم ۾ هڪ بگ جي ڪري، هڪ CA سڀني اعلان ڪيل ڊومينز جي تصديق ڪئي. اهڙين حالتن ۾، ايس ايس ايل سرٽيفڪيٽ جاري ڪري سگهجن ٿا دوکي جي وسيلن کي.

IETF منظور ٿيل ACME پروٽوڪول (تفصيل آر ايف سي 8555) سرٽيفڪيٽ حاصل ڪرڻ جي عمل کي خودڪار ۽ معياري ڪرڻ گهرجي. ۽ انساني عنصر کي ختم ڪرڻ ۾ مدد ملندي ڊومين جي نالي جي تصديق جي اعتبار ۽ سيڪيورٽي کي وڌائڻ ۾.

معيار کليل آهي ۽ ڪو به ان جي ترقي ۾ حصو وٺي سگهي ٿو. IN GitHub تي ذخيرو لاڳاپيل هدايتون شايع ڪيون ويون آهن.

ڪيئن هن ڪم ڪندو

درخواستون ACME ۾ HTTPS تي JSON پيغام استعمال ڪندي مٽائي وينديون آھن. پروٽوڪول سان ڪم ڪرڻ لاءِ، توهان کي ACME ڪلائنٽ کي ٽارگيٽ نوڊ تي انسٽال ڪرڻ جي ضرورت آهي؛ اهو پهريون ڀيرو CA تائين پهچندي هڪ منفرد ڪيئي جوڙو ٺاهي ٿو. تنهن کان پوء، اهي ڪلائنٽ ۽ سرور کان سڀني پيغامن کي سائن ان ڪرڻ لاء استعمال ڪيا ويندا.

پهريون پيغام ڊومين جي مالڪ بابت رابطي جي معلومات تي مشتمل آهي. اهو پرائيويٽ ڪيئي سان سائن ڪيو ويو آهي ۽ سرور ڏانهن عوامي ڪيئي سان گڏ موڪليو ويو آهي. اهو دستخط جي صداقت جي تصديق ڪري ٿو ۽، جيڪڏهن سڀ ڪجهه ترتيب ۾ آهي، هڪ SSL سرٽيفڪيٽ جاري ڪرڻ جو طريقو شروع ٿئي ٿو.

سرٽيفڪيٽ حاصل ڪرڻ لاء، ڪلائنٽ کي سرور کي ثابت ڪرڻ گهرجي ته هو ڊومين جو مالڪ آهي. هن کي ڪرڻ لاء، هو ڪجهه ڪارناما انجام ڏئي ٿو جيڪو صرف مالڪ وٽ موجود آهي. مثال طور، هڪ سرٽيفڪيٽ اٿارٽي هڪ منفرد ٽوڪن ٺاهي سگهي ٿو ۽ ڪلائنٽ کان پڇي ٿو ته ان کي سائيٽ تي رکي. اڳيون، CA هن ٽوڪن مان ڪي کي ٻيهر حاصل ڪرڻ لاءِ ويب يا DNS سوال جاري ڪري ٿو.

مثال طور، HTTP جي صورت ۾، ٽوڪن مان ڪنجي کي فائل ۾ رکڻو پوندو جيڪو ويب سرور طرفان پيش ڪيو ويندو. DNS جي تصديق دوران، سرٽيفڪيشن اٿارٽي DNS رڪارڊ جي ٽيڪسٽ ڊاڪيومينٽ ۾ هڪ منفرد چيڪ ڳوليندو. جيڪڏهن سڀ ڪجهه ٺيڪ آهي، سرور تصديق ڪري ٿو ته ڪلائنٽ جي تصديق ڪئي وئي آهي ۽ CA هڪ سرٽيفڪيٽ جاري ڪري ٿو.

/فلڪر/ Blondinrikard Fröberg / CC BY

تحريرون

پاران موجب IETF، ACME منتظمين لاءِ ڪارآمد هوندا جن کي ڪيترن ئي ڊومين نالن سان ڪم ڪرڻو پوندو. معيار انهن مان هر هڪ کي گهربل SSLs سان ڳنڍڻ ۾ مدد ڪندو.

معيار جي فائدن مان، ماهرن کي پڻ ڪيترن ئي نوٽ ڪيو وڃي ٿو سيڪيورٽي ميڪانيزم. انهن کي يقيني بڻائڻ گهرجي ته SSL سرٽيفڪيٽ جاري ڪيا ويا آهن صرف حقيقي ڊومين مالڪن کي. خاص طور تي، توسيع جو هڪ سيٽ استعمال ڪيو ويندو آهي DNS حملن جي خلاف حفاظت لاء DNSSEC، ۽ DoS جي خلاف حفاظت لاءِ، معيار انفرادي درخواستن تي عمل ڪرڻ جي رفتار کي محدود ڪري ٿو - مثال طور، طريقي لاءِ HTTP پوسٽ. ACME ڊولپر پاڻ کي سفارش ڪريو سيڪيورٽي کي بهتر ڪرڻ لاء، ڊي اين ايس سوالن ۾ اينٽراپي شامل ڪريو ۽ انهن کي نيٽ ورڪ تي ڪيترن ئي پوائنٽن تان عمل ڪريو.

ملندڙ حل

پروٽوڪول پڻ استعمال ڪيا ويا آهن سرٽيفڪيٽ حاصل ڪرڻ لاء اسڪيل и نالو.

پهريون سسڪو سسٽم تي ترقي ڪئي وئي. ان جو مقصد X.509 ڊجيٽل سرٽيفڪيٽ جاري ڪرڻ جي طريقيڪار کي آسان ڪرڻ ۽ ان کي ممڪن طور تي اسپيبلبل بڻائڻ هو. SCEP کان اڳ، هن عمل ۾ سسٽم جي منتظمين جي فعال شموليت جي ضرورت هئي ۽ چڱي نموني نه هئي. اڄ هي پروٽوڪول سڀ کان عام مان هڪ آهي.

جيئن ته EST لاءِ، اها PKI گراهڪن کي محفوظ چينلن تي سرٽيفڪيٽ حاصل ڪرڻ جي اجازت ڏئي ٿي. اهو پيغام جي منتقلي ۽ SSL جاري ڪرڻ لاءِ TLS استعمال ڪري ٿو، انهي سان گڏ موڪليندڙ کي CSR کي پابند ڪرڻ لاءِ. ان کان علاوه، EST elliptic cryptography طريقن کي سپورٽ ڪري ٿو، جيڪو سيڪيورٽي جي اضافي پرت ٺاهي ٿو.

پاران ماهر راء، ACME وانگر حل وڌيڪ وسيع ٿيڻ جي ضرورت پوندي. اهي هڪ آسان ۽ محفوظ SSL سيٽ اپ ماڊل پيش ڪن ٿا ۽ پروسيس کي تيز ڪن ٿا.

اسان جي ڪارپوريٽ بلاگ مان اضافي پوسٽون:

• تنظيم جي آئي ٽي انفراسٽرڪچر لاءِ اختيار
• بيڪ اپ فائلون: ڊيٽا جي نقصان کان پاڻ کي ڪيئن بچائڻ لاء
• منتظمين لاءِ ٽريننگ اسٽينڊ: بادل ڪيئن مدد ڪري سگھي ٿو
• 1 ڪلائوڊ ڪلائوڊ آرڪيٽيڪچر جو ارتقا

جو ذريعو: www.habr.com