IETF imeidhinishwa Mazingira ya Kiotomatiki ya Usimamizi wa Cheti (ACME), ambayo yatasaidia kufanya upokeaji wa vyeti vya SSL kiotomatiki. Hebu tuambie jinsi inavyofanya kazi.
/flickr/ /
Kwa nini kiwango kilihitajika?
Wastani kwa kila mpangilio kwa kikoa, msimamizi anaweza kutumia kutoka saa moja hadi tatu. Ikiwa utafanya makosa, utahitaji kusubiri hadi maombi yamekataliwa, tu baada ya kuwa inaweza kuwasilishwa tena. Yote hii inafanya kuwa vigumu kupeleka mifumo mikubwa.
Utaratibu wa uthibitishaji wa kikoa unaweza kutofautiana kwa kila mamlaka ya uthibitishaji. Ukosefu wa viwango wakati mwingine husababisha matatizo ya usalama. Maarufu wakati, kwa sababu ya hitilafu kwenye mfumo, CA moja ilithibitisha vikoa vyote vilivyotangazwa. Katika hali kama hizi, vyeti vya SSL vinaweza kutolewa kwa rasilimali za ulaghai.
Itifaki ya ACME iliyoidhinishwa na IETF (specification ) inapaswa kubinafsisha na kusawazisha mchakato wa kupata cheti. Na kuondoa sababu ya kibinadamu itasaidia kuongeza kuegemea na usalama wa uthibitishaji wa jina la kikoa.
Kiwango kiko wazi na mtu yeyote anaweza kuchangia maendeleo yake. KATIKA maagizo yamechapishwa.
Jinsi gani kazi hii
Maombi katika ACME hubadilishwa kupitia HTTPS kwa kutumia jumbe za JSON. Ili kufanya kazi na itifaki, unahitaji kusakinisha mteja wa ACME kwenye nodi lengwa; hutoa jozi ya ufunguo wa kipekee mara ya kwanza inapofikia CA. Baadaye, zitatumika kutia sahihi ujumbe wote wa mteja na seva.
Ujumbe wa kwanza una maelezo ya mawasiliano kuhusu mmiliki wa kikoa. Imetiwa saini na ufunguo wa faragha na kutumwa kwa seva pamoja na ufunguo wa umma. Inachunguza uhalisi wa saini na, ikiwa kila kitu kiko sawa, huanza utaratibu wa kutoa cheti cha SSL.
Ili kupata cheti, mteja lazima athibitishe kwa seva kuwa inamiliki kikoa. Kwa kufanya hivyo, anafanya vitendo fulani ambavyo vinapatikana tu kwa mmiliki. Kwa mfano, mamlaka ya cheti inaweza kutoa tokeni ya kipekee na kumwomba mteja kuiweka kwenye tovuti. Kisha, CA hutoa swali la wavuti au DNS ili kutoa ufunguo kutoka kwa ishara hii.
Kwa mfano, katika kesi ya HTTP, ufunguo kutoka kwa ishara lazima uweke kwenye faili ambayo itatumiwa na seva ya wavuti. Wakati wa uthibitishaji wa DNS, mamlaka ya uthibitishaji itatafuta ufunguo wa kipekee katika hati ya maandishi ya rekodi ya DNS. Ikiwa kila kitu kiko sawa, seva inathibitisha kwamba mteja ameidhinishwa na CA inatoa cheti.
/flickr/ /
Maoni
Cha IETF, ACME itakuwa muhimu kwa wasimamizi ambao wanapaswa kufanya kazi na majina mengi ya vikoa. Kiwango kitasaidia kuhusisha kila mmoja wao na SSL inayotaka.
Miongoni mwa faida za kiwango, wataalam pia wanaona kadhaa . Ni lazima wahakikishe kuwa vyeti vya SSL vinatolewa kwa waliojisajili halisi pekee. Hasa, seti ya upanuzi hutumiwa kulinda dhidi ya mashambulizi ya DNS. , na kulinda dhidi ya DoS, kiwango kinapunguza kasi ya utekelezaji wa maombi ya mtu binafsi - kwa mfano, HTTP kwa njia . Watengenezaji wa ACME wenyewe ili kuongeza usalama, ongeza entropy kwa hoja za DNS na utekeleze kutoka kwa vidokezo kadhaa kwenye mtandao.
Suluhisho Sawa
Itifaki pia hutumika kupata vyeti. ΠΈ .
Ya kwanza ilitengenezwa na Cisco Systems. Kusudi lake lilikuwa kurahisisha utaratibu wa kutoa vyeti vya dijitali vya X.509 na kuifanya iwe kubwa iwezekanavyo. Kabla ya ujio wa SCEP, mchakato huu ulihitaji ushiriki hai wa wasimamizi wa mfumo na haukua vizuri. Leo, itifaki hii ni moja ya kawaida.
Kuhusu EST, inaruhusu wateja wa PKI kupata vyeti kupitia njia salama. Inatumia TLS kwa kutuma ujumbe na kutoa SSL, na pia kumshurutisha CSR kwa mtumaji. Kwa kuongeza, EST inasaidia njia za cryptography ya elliptic, ambayo huunda safu ya ziada ya ulinzi.
Cha , suluhu kama ACME zitahitaji kupitishwa kwa upana zaidi. Wanatoa modeli iliyorahisishwa na salama ya usanidi wa SSL na pia kuharakisha mchakato.
Machapisho ya ziada kutoka kwa blogu yetu ya ushirika:
Chanzo: mapenzi.com