IETF waxay ansixisay ACME, heerka la shaqaynta shahaadooyinka SSL

IETF waa la ansixiyay heerka Deegaanka Maareynta Shahaadada Toos ah (ACME), kaas oo kaa caawin doona in si otomaatig ah loo helo shahaadooyinka SSL. Aan kuu sheegno sida ay u shaqeyso.

/flickr/ Cliff Johnson / CC BY-SA

Waa maxay sababta heerka loo baahan yahay?

Celceliska goob kasta Shahaadada SSL domain, maamuluhu wuxuu ku qaadan karaa hal ilaa saddex saacadood. Haddii aad khalad samayso, waa inaad sugtaa ilaa codsiga la diido, markaas uun baa mar kale la soo gudbin karaa. Waxaas oo dhami waxay adkeynayaan in la geeyo habab baaxad leh.

Habka ansixinta domainka ee hay'ad kasta oo shahaado ayaa laga yaabaa inay kala duwanaato. Halbeeg la'aantu waxay mararka qaarkood keentaa dhibaatooyin xagga amniga ah. Caan ah kiisMarka, cillad ku jirta nidaamka awgeed, hal CA ayaa xaqiijisay dhammaan xayndaabka la sheegay. Xaaladahan oo kale, shahaadooyinka SSL waxaa laga yaabaa in la siiyo ilo been abuur ah.

IETF waxay ansixisay borotokoolka ACME (qeexidda RFC8555) waa in uu si otomaatig ah u habeeyaa una habeeyaa habka loo marayo helitaanka shahaadada. Iyo baabi'inta qodobka bini'aadamka waxay gacan ka geysan doontaa kordhinta isku halaynta iyo amniga xaqiijinta magaca domain.

Halbeeggu waa furan yahay qof kastana wuu ka qayb qaadan karaa horumarkiisa. IN kaydka GitHub Tilmaamaha khuseeya waa la daabacay

Sidee tani u shaqaysaa

Codsiyada waxaa lagu beddelaa ACME HTTPS iyadoo la isticmaalayo farriimaha JSON. Si aad ula shaqeyso borotokoolka, waxaad u baahan tahay inaad ku rakibto macmiilka ACME barta bartilmaameedka ah; waxay soo saartaa lamaane muhiim ah marka ugu horeysa ee aad gasho CA. Ka dib, waxaa loo isticmaali doonaa in lagu saxiixo dhammaan fariimaha macmiilka iyo server-ka.

Fariinta ugu horeysa waxay ka kooban tahay macluumaadka xiriirka ee ku saabsan milkiilaha bogga Waxaa lagu saxeexay furaha gaarka ah waxaana loo diraa server-ka oo uu la socdo furaha dadweynaha. Waxay xaqiijisaa saxnimada saxeexa, haddii wax waliba hagaagsan yihiin, waxay bilaabataa nidaamka soo saarida shahaadada SSL.

Si loo helo shahaado, macmiilku waa inuu u caddeeyaa server-ka inuu leeyahay domainka. Si tan loo sameeyo, wuxuu sameeyaa ficillo gaar ah oo uu heli karo oo keliya milkiilaha. Tusaale ahaan, hay'adda shahaadada waxay soo saari kartaa calaamad gaar ah waxayna weydiisan kartaa macmiilka inuu dhigo goobta. Marka xigta, CA waxay soo saartaa weydiimo shabakad ama DNS si ay furaha uga soo saarto calaamaddan.

Tusaale ahaan, marka laga hadlayo HTTP, furaha calaamada waa in lagu dhejiyaa fayl uu u adeegi doono server-ka shabakadu. Inta lagu jiro xaqiijinta DNS, maamulka shahaadada ayaa ka raadin doona fure gaar ah dukumeentiga qoraalka ee diiwaanka DNS. Haddii wax walba ay fiican yihiin, server-ku wuxuu xaqiijinayaa in macmiilka la ansixiyay oo CA ayaa bixisa shahaado.

/flickr/ Blondinrikard Fröberg / CC BY

Fikrado

By sida laga soo xigtay IETF, ACME waxay faa'iido u yeelan doontaa maamulayaasha ay tahay inay ku shaqeeyaan magacyo domain oo badan. Heerarka ayaa kaa caawin doona in mid kasta oo iyaga ka mid ah ku xidho SSL-yada loo baahan yahay.

Faa'iidooyinka heerka caadiga ah, khubarada ayaa sidoo kale dhowraya hababka amniga. Waa inay hubiyaan in shahaadooyinka SSL la siiyay oo kaliya milkiilayaasha domainka dhabta ah. Gaar ahaan, tiro kordhin ayaa loo isticmaalaa si looga ilaaliyo weerarrada DNS DNSSEC, iyo si looga hortago DoS, halbeeggu wuxuu xaddidaa xawaaraha fulinta codsiyada shakhsi ahaaneed - tusaale ahaan, HTTP ee habka POST. Horumarinta ACME laftooda ku talin Si loo hagaajiyo amniga, ku dar entropy su'aalaha DNS oo ka fuli dhibco badan oo shabakada ah.

Xalalka la midka ah

Hab-maamuusyada ayaa sidoo kale loo isticmaalaa in lagu helo shahaadooyin SCEP и EST.

Midka ugu horreeya waxaa lagu sameeyay Cisco Systems. Hadafkeedu wuxuu ahaa in la fududeeyo nidaamka bixinta shahaadooyinka dhijitaalka ah ee X.509 oo laga dhigo mid la qiyaasi karo intii suurtagal ah. Kahor SCEP, nidaamkani wuxuu u baahday ka qaybqaadashada firfircoon ee maamulayaasha nidaamka oo si fiican uma miisaanayn. Maanta borotokoolkaani waa mid ka mid ah kuwa ugu caansan.

Dhanka EST, waxay u ogolaataa macaamiisha PKI inay ka helaan shahaadooyin kanaalo sugan. Waxay u isticmaashaa TLS gudbinta fariinta iyo soo saarista SSL, iyo sidoo kale inay ku xidho CSR soo-diraha. Intaa waxaa dheer, EST waxay taageertaa hababka elliptical cryptography, kaas oo abuuraya lakab dheeraad ah oo ammaan ah.

By ra'yi khabiir, xalalka sida ACME waxay u baahan doonaan inay noqdaan kuwo baahsan. Waxay bixiyaan qaab dejinta SSL la fududeeyay oo sugan iyo sidoo kale dedejinta habka.

Qoraallo dheeri ah oo ka soo baxay blog-ga shirkadda:

• Ururka IT fursadaha kaabayaasha
• Kaydinta faylasha: sidaad naftaada uga ilaalin lahayd luminta xogta
• Tababarka wuxuu u taagan yahay maamulayaasha: sida daruurtu u caawin karto
• Horumarka dhismaha Cloud 1cloud

Source: www.habr.com