IETF godkänd Automatic Certificate Management Environment (ACME), som hjälper till att automatisera mottagandet av SSL-certifikat. Låt oss berätta hur det fungerar.
/flickr/ /
Varför behövdes standarden?
Genomsnitt per inställning för en domän kan administratören spendera från en till tre timmar. Om du gör fel får du vänta tills ansökan avslås, först då kan den skickas in igen. Allt detta gör det svårt att distribuera storskaliga system.
Domänvalideringsproceduren för varje certifieringsmyndighet kan skilja sig åt. Bristande standardisering leder ibland till säkerhetsproblem. Känd när, på grund av en bugg i systemet, en CA verifierade alla deklarerade domäner. I sådana situationer kan SSL-certifikat utfärdas till bedrägliga resurser.
IETF godkänt ACME-protokoll (specifikation ) bör automatisera och standardisera processen för att erhålla ett certifikat. Och att eliminera den mänskliga faktorn kommer att bidra till att öka tillförlitligheten och säkerheten för domännamnsverifiering.
Standarden är öppen och vem som helst kan bidra till dess utveckling. I Relevanta instruktioner har publicerats.
Hur fungerar den här
Förfrågningar utbyts i ACME över HTTPS med JSON-meddelanden. För att arbeta med protokollet måste du installera ACME-klienten på målnoden, den genererar ett unikt nyckelpar första gången du kommer åt CA. Därefter kommer de att användas för att signera alla meddelanden från klienten och servern.
Det första meddelandet innehåller kontaktinformation om domänägaren. Den signeras med den privata nyckeln och skickas till servern tillsammans med den offentliga nyckeln. Den verifierar signaturens äkthet och, om allt är i sin ordning, påbörjas proceduren för att utfärda ett SSL-certifikat.
För att få ett certifikat måste klienten bevisa för servern att han äger domänen. För att göra detta utför han vissa åtgärder som endast är tillgängliga för ägaren. Till exempel kan en certifikatutfärdare generera en unik token och be klienten att placera den på webbplatsen. Därefter utfärdar CA en webb- eller DNS-fråga för att hämta nyckeln från denna token.
Till exempel, i fallet med HTTP, måste nyckeln från token placeras i en fil som kommer att betjänas av webbservern. Under DNS-verifiering kommer certifieringsmyndigheten att leta efter en unik nyckel i textdokumentet för DNS-posten. Om allt är bra bekräftar servern att klienten har validerats och CA utfärdar ett certifikat.
/flickr/ /
yttranden
På IETF, ACME kommer att vara användbart för administratörer som måste arbeta med flera domännamn. Standarden hjälper till att länka var och en av dem till de nödvändiga SSL:erna.
Bland fördelarna med standarden noterar experter också flera . De måste se till att SSL-certifikat endast utfärdas till äkta domänägare. I synnerhet används en uppsättning tillägg för att skydda mot DNS-attacker , och för att skydda mot DoS, begränsar standarden hastigheten för exekvering av individuella förfrågningar - till exempel HTTP för metoden . ACME utvecklare själva För att förbättra säkerheten, lägg till entropi till DNS-frågor och kör dem från flera punkter i nätverket.
Liknande lösningar
Protokoll används också för att få certifikat и .
Den första utvecklades på Cisco Systems. Dess mål var att förenkla proceduren för att utfärda X.509 digitala certifikat och göra den så skalbar som möjligt. Före SCEP krävde denna process aktivt deltagande av systemadministratörer och skalade inte bra. Idag är detta protokoll ett av de vanligaste.
När det gäller EST tillåter det PKI-klienter att få certifikat över säkra kanaler. Den använder TLS för meddelandeöverföring och SSL-utgivning, samt för att binda CSR till avsändaren. Dessutom stöder EST elliptiska kryptografimetoder, vilket skapar ett extra lager av säkerhet.
På , kommer lösningar som ACME att behöva bli mer utbredda. De erbjuder en förenklad och säker SSL-inställningsmodell och påskyndar också processen.
Ytterligare inlägg från vår företagsblogg:
Källa: will.com