ИЕТФ одобрио Аутоматско окружење за управљање сертификатима (АЦМЕ), које ће помоћи да се аутоматизује пријем ССЛ сертификата. Хајде да вам кажемо како то функционише.
/Флицкр/ /
Зашто је стандард био потребан?
Просек по поставци за домен, администратор може да потроши од једног до три сата. Ако погрешите, мораћете да сачекате док пријава не буде одбијена, тек онда се може поново поднети. Све ово отежава примену система великих размера.
Процедура валидације домена за свако сертификационо тело може се разликовати. Недостатак стандардизације понекад доводи до безбедносних проблема. Фамоус када је, због грешке у систему, један ЦА верификовао све декларисане домене. У таквим ситуацијама, ССЛ сертификати могу бити издати лажним ресурсима.
ИЕТФ је одобрио АЦМЕ протокол (спецификација ) треба да аутоматизује и стандардизује процес добијања сертификата. А елиминисање људског фактора ће помоћи да се повећа поузданост и сигурност верификације имена домена.
Стандард је отворен и свако може да допринесе његовом развоју. ИН Релевантна упутства су објављена.
Како ово ради
Захтеви се размењују у АЦМЕ преко ХТТПС-а помоћу ЈСОН порука. Да бисте радили са протоколом, потребно је да инсталирате АЦМЕ клијента на циљни чвор; он генерише јединствени пар кључева када први пут приступите ЦА. Након тога, они ће се користити за потписивање свих порука са клијента и сервера.
Прва порука садржи контакт информације о власнику домена. Потписује се приватним кључем и шаље на сервер заједно са јавним кључем. Он проверава аутентичност потписа и, ако је све у реду, започиње процедуру за издавање ССЛ сертификата.
Да би добио сертификат, клијент мора да докаже серверу да је власник домена. Да би то урадио, он обавља одређене радње доступне само власнику. На пример, ауторитет за сертификацију може да генерише јединствени токен и затражи од клијента да га постави на сајт. Затим, ЦА издаје веб или ДНС упит за преузимање кључа из овог токена.
На пример, у случају ХТТП-а, кључ од токена мора бити смештен у датотеку коју ће сервирати веб сервер. Током ДНС верификације, ауторитет за сертификацију ће тражити јединствени кључ у текстуалном документу ДНС записа. Ако је све у реду, сервер потврђује да је клијент потврђен и ЦА издаје сертификат.
/Флицкр/ /
мишљења
На ИЕТФ, АЦМЕ ће бити корисни за администраторе који морају да раде са више имена домена. Стандард ће помоћи да се сваки од њих повеже са потребним ССЛ-овима.
Међу предностима стандарда, стручњаци такође примећују неколико . Они морају осигурати да се ССЛ сертификати издају само правим власницима домена. Конкретно, скуп екстензија се користи за заштиту од ДНС напада , а ради заштите од ДоС-а, стандард ограничава брзину извршавања појединачних захтева – на пример, ХТТП за метод . АЦМЕ програмери сами Да бисте побољшали безбедност, додајте ентропију ДНС упитима и извршите их са више тачака на мрежи.
Слична решења
Протоколи се такође користе за добијање сертификата и .
Први је развијен у Цисцо Системс-у. Његов циљ је био да поједностави процедуру издавања Кс.509 дигиталних сертификата и учини је што скалабилнијим. Пре СЦЕП-а, овај процес је захтевао активно учешће системских администратора и није се добро проширио. Данас је овај протокол један од најчешћих.
Што се тиче ЕСТ-а, он омогућава ПКИ клијентима да добију сертификате преко безбедних канала. Користи ТЛС за пренос порука и издавање ССЛ-а, као и за везивање ЦСР-а за пошиљаоца. Поред тога, ЕСТ подржава методе елиптичке криптографије, што ствара додатни ниво сигурности.
На , решења попут АЦМЕ ће морати да постану распрострањенија. Они нуде поједностављен и сигуран модел подешавања ССЛ-а и такође убрзавају процес.
Додатне објаве са нашег корпоративног блога:
Извор: ввв.хабр.цом