odobreno od IETF Automatic Certificate Management Environment (ACME), ki bo pomagal avtomatizirati prejemanje SSL certifikatov. Naj vam povemo, kako deluje.
/flickr/ /
Zakaj je bil standard potreben?
Povprečje na nastavitev za domeno lahko administrator porabi od ene do treh ur. Če se zmotite, boste morali počakati do zavrnitve vloge, šele nato jo lahko ponovno oddate. Vse to otežuje uvajanje obsežnih sistemov.
Postopek preverjanja domene za posamezne overitelje se lahko razlikuje. Pomanjkanje standardizacije včasih vodi do varnostnih težav. slavni ko je zaradi napake v sistemu en CA preveril vse prijavljene domene. V takšnih primerih se lahko potrdila SSL izdajo goljufivim virom.
IETF odobril protokol ACME (specifikacija ) naj avtomatizira in standardizira postopek pridobivanja certifikata. In odprava človeškega dejavnika bo pripomogla k večji zanesljivosti in varnosti preverjanja imena domene.
Standard je odprt in vsak lahko prispeva k njegovemu razvoju. IN Ustrezna navodila so objavljena.
Kako to deluje
Zahteve se izmenjujejo v ACME prek HTTPS z uporabo sporočil JSON. Za delo s protokolom morate na ciljno vozlišče namestiti odjemalca ACME; ob prvem dostopu do CA ustvari edinstven par ključev. Kasneje bodo uporabljeni za podpisovanje vseh sporočil odjemalca in strežnika.
Prvo sporočilo vsebuje kontaktne podatke o lastniku domene. Podpisan je z zasebnim ključem in poslan na strežnik skupaj z javnim ključem. Preveri pristnost podpisa in, če je vse v redu, začne postopek za izdajo SSL certifikata.
Za pridobitev certifikata mora naročnik strežniku dokazati, da je lastnik domene. Da bi to naredil, izvaja določena dejanja, ki so na voljo samo lastniku. Na primer, overitelj potrdil lahko ustvari edinstven žeton in prosi odjemalca, da ga postavi na spletno mesto. Nato CA izda spletno ali DNS poizvedbo za pridobitev ključa iz tega žetona.
Na primer, v primeru HTTP mora biti ključ iz žetona postavljen v datoteko, ki jo bo stregel spletni strežnik. Med preverjanjem DNS bo overitelj iskal edinstven ključ v besedilnem dokumentu zapisa DNS. Če je vse v redu, strežnik potrdi, da je bil odjemalec preverjen, in CA izda potrdilo.
/flickr/ /
mnenja
Na IETF, ACME bosta uporabna za skrbnike, ki morajo delati z več imeni domen. Standard bo pomagal povezati vsakega od njih z zahtevanimi SSL-ji.
Med prednostmi standarda strokovnjaki ugotavljajo tudi več . Zagotoviti morajo, da se SSL certifikati izdajo le pristnim lastnikom domen. Zlasti niz razširitev se uporablja za zaščito pred napadi DNS , za zaščito pred DoS pa standard omejuje hitrost izvajanja posameznih zahtev – na primer HTTP za metodo . ACME razvijalci sami Za izboljšanje varnosti dodajte entropijo poizvedbam DNS in jih izvajajte z več točk v omrežju.
Podobne rešitve
Protokoli se uporabljajo tudi za pridobivanje certifikatov и .
Prvega so razvili pri Cisco Systems. Njegov cilj je bil poenostaviti postopek izdaje digitalnih potrdil X.509 in ga narediti čim bolj prilagodljivega. Pred SCEP-om je ta proces zahteval aktivno sodelovanje sistemskih skrbnikov in se ni dobro prilagajal. Danes je ta protokol eden najpogostejših.
Kar zadeva EST, omogoča odjemalcem PKI pridobivanje potrdil prek varnih kanalov. Uporablja TLS za prenos sporočil in izdajo SSL ter za vezavo CSR na pošiljatelja. Poleg tega EST podpira metode eliptične kriptografije, kar ustvarja dodatno raven varnosti.
Na , bodo morale rešitve, kot je ACME, postati bolj razširjene. Ponujajo poenostavljen in varen model nastavitve SSL in tudi pospešijo postopek.
Dodatne objave iz našega poslovnega bloga:
Vir: www.habr.com