IETF disatujuan Lingkungan Manajemén Sertipikat Otomatis (ACME), anu bakal ngabantosan otomatis nampi sertipikat SSL. Hayu urang ngabejaan ka maneh kumaha gawéna.
/flickr/ /
Naha éta standar diperlukeun?
Rata per setelan pikeun domain a, administrator bisa méakkeun ti hiji nepi ka tilu jam. Upami anjeun ngalakukeun kasalahan, anjeun kedah ngantosan dugi aplikasina ditolak, teras tiasa dikintunkeun deui. Sadaya ieu ngajadikeun hésé nyebarkeun sistem skala ageung.
Prosedur validasi domain pikeun tiap otoritas sertifikasi tiasa béda. Kurangna standarisasi kadang ngabalukarkeun masalah kaamanan. Kasohor nalika, alatan bug dina sistem, hiji CA diverifikasi sadayana domain nyatakeun. Dina kaayaan kitu, sertipikat SSL bisa jadi dikaluarkeun pikeun sumber daya curang.
IETF disatujuan protokol ACME (spésifikasi ) kedah ngajadikeun otomatis sareng standarisasi prosés kéngingkeun sertipikat. Sareng ngaleungitkeun faktor manusa bakal ngabantosan ningkatkeun reliabilitas sareng kaamanan verifikasi nami domain.
Standarna dibuka sareng saha waé tiasa nyumbang kana pangwangunanana. DI parentah relevan geus diterbitkeun.
Kumaha teu karya ieu
Requests anu disilihtukeurkeun di ACME leuwih HTTPS maké pesen JSON. Pikeun damel sareng protokol, anjeun kedah masang klien ACME dina titik target; éta ngahasilkeun pasangan konci anu unik nalika anjeun ngaksés CA. Salajengna, aranjeunna bakal dianggo pikeun ngadaptarkeun sadaya pesen ti klien sareng server.
Pesen kahiji ngandung inpormasi kontak ngeunaan nu boga domain. Éta ditandatanganan ku konci pribadi sareng dikirim ka server sareng konci umum. Ieu verifies kaaslian signature jeung, lamun sagalana aya dina urutan, dimimitian prosedur pikeun ngaluarkeun sertipikat SSL.
Pikeun kéngingkeun sertipikat, klien kedah ngabuktikeun ka server yén anjeunna gaduh domain. Jang ngalampahkeun ieu, anjeunna ngalakukeun tindakan tangtu ngan sadia pikeun nu boga. Salaku conto, otoritas sertipikat tiasa ngahasilkeun token unik sareng naroskeun ka klien pikeun nempatkeun éta dina situs. Salajengna, CA ngaluarkeun pamundut wéb atanapi DNS pikeun nyandak konci tina token ieu.
Contona, dina kasus HTTP, konci ti token kudu disimpen dina file anu bakal dilayanan ku web server. Salila verifikasi DNS, otoritas sertifikasi bakal milarian konci unik dina dokumén téks tina rékaman DNS. Lamun sagalana geus rupa, server confirms yén klien geus disahkeun sarta CA ngaluarkeun sertipikat a.
/flickr/ /
pendapat
on IETF, ACME bakal mangpaat pikeun pangurus anu kudu digawekeun ku sababaraha ngaran domain. Standar bakal ngabantosan ngaitkeun masing-masing ka SSL anu diperyogikeun.
Diantara kaunggulan standar, para ahli ogé nyatet sababaraha . Éta kudu mastikeun yén sertipikat SSL anu dikaluarkeun ukur keur boga domain asli. Khususna, sakumpulan ekstensi dianggo pikeun ngajagaan tina serangan DNS , sareng ngajaga ngalawan DoS, standar ngabatesan laju palaksanaan pamundut individu - contona, HTTP pikeun metodeu . pamekar ACME sorangan Pikeun ningkatkeun kaamanan, tambahkeun éntropi kana pamundut DNS sareng laksanakeun tina sababaraha titik dina jaringan.
solusi sarupa
Protokol ogé dianggo pikeun kéngingkeun sertipikat и .
Kahiji ieu dimekarkeun dina Cisco Systems. Tujuanana nya éta pikeun nyederhanakeun prosedur pikeun ngaluarkeun sertipikat digital X.509 sareng ngajantenkeun sabisa-gancang. Sateuacan SCEP, prosés ieu peryogi partisipasi aktif pangurus sistem sareng henteu skalana saé. Dinten protokol ieu salah sahiji anu pang umum.
Sedengkeun pikeun EST, éta ngamungkinkeun klien PKI pikeun ménta sertipikat ngaliwatan saluran aman. Éta ngagunakeun TLS pikeun mindahkeun pesen sareng ngaluarkeun SSL, ogé pikeun ngabeungkeut CSR ka pangirim. Salaku tambahan, EST ngadukung metode kriptografi elliptic, anu nyiptakeun lapisan kaamanan tambahan.
on , solusi kawas ACME bakal perlu jadi leuwih nyebar. Aranjeunna nawiskeun modél setelan SSL anu saderhana sareng aman sareng ogé nyepetkeun prosésna.
Tulisan tambahan tina blog perusahaan kami:
sumber: www.habr.com