IETF miratuar Mjedisi i Menaxhimit Automatik të Certifikatës (ACME), i cili do të ndihmojë në automatizimin e marrjes së certifikatave SSL. Le t'ju tregojmë se si funksionon.
/flickr/ /
Pse ishte i nevojshëm standardi?
Mesatarja për cilësim për një domen, administratori mund të kalojë nga një deri në tre orë. Nëse bëni një gabim, do të duhet të prisni derisa aplikacioni të refuzohet, vetëm pas së cilës ai mund të dorëzohet përsëri. E gjithë kjo e bën të vështirë vendosjen e sistemeve në shkallë të gjerë.
Procedura e vërtetimit të domenit për çdo autoritet certifikues mund të ndryshojë. Mungesa e standardizimit nganjëherë çon në probleme sigurie. I famshëm kur, për shkak të një gabimi në sistem, një CA verifikoi të gjitha domenet e deklaruara. Në situata të tilla, certifikatat SSL mund të lëshohen për burime mashtruese.
IETF miratoi protokollin ACME (specifikim ) duhet të automatizojë dhe standardizojë procesin e marrjes së një certifikate. Dhe eliminimi i faktorit njerëzor do të ndihmojë në rritjen e besueshmërisë dhe sigurisë së verifikimit të emrit të domenit.
Standardi është i hapur dhe kushdo mund të kontribuojë në zhvillimin e tij. NË Udhëzimet përkatëse janë publikuar.
Si punon kjo
Kërkesat shkëmbehen në ACME mbi HTTPS duke përdorur mesazhe JSON. Për të punuar me protokollin, duhet të instaloni klientin ACME në nyjen e synuar; ai gjeneron një çift çelësi unik herën e parë që hyni në CA. Më pas, ato do të përdoren për të nënshkruar të gjitha mesazhet nga klienti dhe serveri.
Mesazhi i parë përmban informacione kontakti për pronarin e domenit. Ai nënshkruhet me çelësin privat dhe dërgohet në server së bashku me çelësin publik. Ai verifikon vërtetësinë e nënshkrimit dhe, nëse gjithçka është në rregull, fillon procedurën për lëshimin e një certifikate SSL.
Për të marrë një certifikatë, klienti duhet t'i vërtetojë serverit se ai zotëron domenin. Për ta bërë këtë, ai kryen veprime të caktuara të disponueshme vetëm për pronarin. Për shembull, një autoritet certifikimi mund të gjenerojë një shenjë unike dhe t'i kërkojë klientit ta vendosë atë në sajt. Më pas, CA lëshon një pyetje në ueb ose DNS për të marrë çelësin nga kjo shenjë.
Për shembull, në rastin e HTTP, çelësi nga token duhet të vendoset në një skedar që do të shërbehet nga serveri në internet. Gjatë verifikimit DNS, autoriteti i certifikimit do të kërkojë një çelës unik në dokumentin e tekstit të regjistrimit DNS. Nëse gjithçka është në rregull, serveri konfirmon që klienti është vërtetuar dhe CA lëshon një certifikatë.
/flickr/ /
Mesazhe
Mbi IETF, ACME do të jetë i dobishëm për administratorët që duhet të punojnë me emra të shumëfishtë domenesh. Standardi do të ndihmojë në lidhjen e secilit prej tyre me SSL-të e kërkuara.
Ndër avantazhet e standardit, ekspertët vërejnë gjithashtu disa . Ata duhet të sigurojnë që certifikatat SSL të lëshohen vetëm për pronarët e vërtetë të domenit. Në veçanti, një grup shtesash përdoret për të mbrojtur kundër sulmeve DNS , dhe për të mbrojtur kundër DoS, standardi kufizon shpejtësinë e ekzekutimit të kërkesave individuale - për shembull, HTTP për metodën . Vetë zhvilluesit e ACME Për të përmirësuar sigurinë, shtoni entropinë në pyetjet DNS dhe ekzekutoni ato nga pika të shumta në rrjet.
Zgjidhje të ngjashme
Protokollet përdoren gjithashtu për të marrë certifikata и .
E para u zhvillua në Cisco Systems. Qëllimi i tij ishte të thjeshtonte procedurën për lëshimin e certifikatave dixhitale X.509 dhe ta bënte atë sa më të shkallëzuar. Përpara SCEP, ky proces kërkonte pjesëmarrjen aktive të administratorëve të sistemit dhe nuk u përshkallëzua mirë. Sot ky protokoll është një nga më të zakonshmet.
Sa i përket EST, ai lejon klientët PKI të marrin certifikata përmes kanaleve të sigurta. Ai përdor TLS për transferimin e mesazheve dhe lëshimin e SSL, si dhe për të lidhur CSR me dërguesin. Përveç kësaj, EST mbështet metodat e kriptografisë eliptike, e cila krijon një shtresë shtesë sigurie.
Mbi , zgjidhjet si ACME do të duhet të bëhen më të përhapura. Ato ofrojnë një model të thjeshtuar dhe të sigurt të konfigurimit të SSL dhe gjithashtu përshpejtojnë procesin.
Postime shtesë nga blogu ynë i korporatës:
Burimi: www.habr.com