புரோஹோஸ்டர் > Блог > நிர்வாகம் > IETF அங்கீகரிக்கப்பட்ட ACME - இது SSL சான்றிதழ்களுடன் பணிபுரிவதற்கான ஒரு தரநிலையாகும்

IETF அங்கீகரிக்கப்பட்ட ACME - இது SSL சான்றிதழ்களுடன் பணிபுரிவதற்கான ஒரு தரநிலையாகும்

IETF அங்கீகரிக்கப்பட்டது நிலையான தானியங்கி சான்றிதழ் மேலாண்மை சூழல் (ACME), இது SSL சான்றிதழ்களின் ரசீதை தானியக்கமாக்க உதவும். அது எப்படி வேலை செய்கிறது என்பதைச் சொல்லலாம்.

IETF அங்கீகரிக்கப்பட்ட ACME - இது SSL சான்றிதழ்களுடன் பணிபுரிவதற்கான ஒரு தரநிலையாகும்
/flickr/ கிளிஃப் ஜான்சன் / CC BY-SA

தரநிலை ஏன் தேவைப்பட்டது?

ஒரு அமைப்பிற்கு சராசரி SSL சான்றிதழ் ஒரு டொமைனுக்கு, நிர்வாகி ஒன்று முதல் மூன்று மணிநேரம் வரை செலவிடலாம். நீங்கள் தவறு செய்தால், விண்ணப்பம் நிராகரிக்கப்படும் வரை நீங்கள் காத்திருக்க வேண்டும், அதன் பிறகு மட்டுமே அதை மீண்டும் சமர்ப்பிக்க முடியும். இவை அனைத்தும் பெரிய அளவிலான அமைப்புகளை வரிசைப்படுத்துவதை கடினமாக்குகிறது.

ஒவ்வொரு சான்றிதழும் அதிகாரத்திற்கான டொமைன் சரிபார்ப்பு நடைமுறை வேறுபடலாம். தரப்படுத்தல் இல்லாமை சில நேரங்களில் பாதுகாப்பு சிக்கல்களுக்கு வழிவகுக்கிறது. பிரபலம் நடக்கிறதுகணினியில் ஏற்பட்ட பிழையின் காரணமாக, ஒரு CA அனைத்து அறிவிக்கப்பட்ட டொமைன்களையும் சரிபார்த்தது. இத்தகைய சூழ்நிலைகளில், மோசடி ஆதாரங்களுக்கு SSL சான்றிதழ்கள் வழங்கப்படலாம்.

IETF அங்கீகரிக்கப்பட்ட ACME நெறிமுறை (குறிப்பிடுதல் RFC8555) ஒரு சான்றிதழைப் பெறுவதற்கான செயல்முறையை தானியங்கு மற்றும் தரப்படுத்த வேண்டும். மனித காரணியை நீக்குவது டொமைன் பெயர் சரிபார்ப்பின் நம்பகத்தன்மை மற்றும் பாதுகாப்பை அதிகரிக்க உதவும்.

தரநிலை திறந்திருக்கும் மற்றும் அதன் வளர்ச்சிக்கு யார் வேண்டுமானாலும் பங்களிக்க முடியும். IN GitHub இல் களஞ்சியங்கள் அதற்கான அறிவுறுத்தல்கள் வெளியிடப்பட்டுள்ளன.

இது எப்படி வேலை செய்கிறது

JSON செய்திகளைப் பயன்படுத்தி HTTPS வழியாக ACME இல் கோரிக்கைகள் பரிமாறப்படுகின்றன. நெறிமுறையுடன் பணிபுரிய, நீங்கள் இலக்கு முனையில் ACME கிளையண்டை நிறுவ வேண்டும்; நீங்கள் CA ஐ அணுகும் முதல் முறையாக இது ஒரு தனித்துவமான விசை ஜோடியை உருவாக்குகிறது. பின்னர், கிளையன்ட் மற்றும் சர்வரில் இருந்து அனைத்து செய்திகளிலும் கையொப்பமிட அவை பயன்படுத்தப்படும்.

முதல் செய்தியில் டொமைன் உரிமையாளரைப் பற்றிய தொடர்புத் தகவல் உள்ளது. இது தனிப்பட்ட விசையுடன் கையொப்பமிடப்பட்டு பொது விசையுடன் சேவையகத்திற்கு அனுப்பப்படுகிறது. இது கையொப்பத்தின் நம்பகத்தன்மையை சரிபார்க்கிறது மற்றும் எல்லாம் ஒழுங்காக இருந்தால், SSL சான்றிதழை வழங்குவதற்கான நடைமுறையைத் தொடங்குகிறது.

சான்றிதழைப் பெற, வாடிக்கையாளர் தனக்குச் சொந்தமான டொமைன் என்பதை சர்வரில் நிரூபிக்க வேண்டும். இதைச் செய்ய, உரிமையாளருக்கு மட்டுமே கிடைக்கும் சில செயல்களை அவர் செய்கிறார். எடுத்துக்காட்டாக, ஒரு சான்றிதழ் அதிகாரம் ஒரு தனித்துவமான டோக்கனை உருவாக்கி அதை தளத்தில் வைக்க கிளையண்டைக் கேட்கலாம். அடுத்து, இந்த டோக்கனிலிருந்து விசையை மீட்டெடுக்க CA ஒரு இணையம் அல்லது DNS வினவலை வெளியிடுகிறது.

எடுத்துக்காட்டாக, HTTP விஷயத்தில், டோக்கனிலிருந்து வரும் விசையானது இணைய சேவையகத்தால் வழங்கப்படும் கோப்பில் வைக்கப்பட வேண்டும். DNS சரிபார்ப்பின் போது, ​​சான்றிதழ் அதிகாரம் DNS பதிவின் உரை ஆவணத்தில் ஒரு தனிப்பட்ட விசையைத் தேடும். எல்லாம் சரியாக இருந்தால், கிளையன்ட் சரிபார்க்கப்பட்டதை சர்வர் உறுதிப்படுத்துகிறது மற்றும் CA சான்றிதழை வழங்குகிறது.

IETF அங்கீகரிக்கப்பட்ட ACME - இது SSL சான்றிதழ்களுடன் பணிபுரிவதற்கான ஒரு தரநிலையாகும்
/flickr/ Blondinrikard Fröberg / CC BY

கருத்துக்களை

மீது படி IETF, ACME பல டொமைன் பெயர்களுடன் பணிபுரிய வேண்டிய நிர்வாகிகளுக்கு பயனுள்ளதாக இருக்கும். அவை ஒவ்வொன்றையும் தேவையான SSLகளுடன் இணைக்க தரநிலை உதவும்.

தரநிலையின் நன்மைகளில், வல்லுநர்கள் பலவற்றைக் குறிப்பிடுகின்றனர் பாதுகாப்பு வழிமுறைகள். SSL சான்றிதழ்கள் உண்மையான டொமைன் உரிமையாளர்களுக்கு மட்டுமே வழங்கப்படுவதை அவர்கள் உறுதிசெய்ய வேண்டும். குறிப்பாக, டிஎன்எஸ் தாக்குதல்களிலிருந்து பாதுகாக்க நீட்டிப்புகளின் தொகுப்பு பயன்படுத்தப்படுகிறது DNSSEC, மற்றும் DoS க்கு எதிராக பாதுகாக்க, தரநிலையானது தனிப்பட்ட கோரிக்கைகளை நிறைவேற்றும் வேகத்தை கட்டுப்படுத்துகிறது - எடுத்துக்காட்டாக, முறைக்கான HTTP போஸ்ட். ACME டெவலப்பர்கள் பரிந்துரை பாதுகாப்பை மேம்படுத்த, டிஎன்எஸ் வினவல்களுக்கு என்ட்ரோபியைச் சேர்த்து, நெட்வொர்க்கில் உள்ள பல புள்ளிகளிலிருந்து அவற்றைச் செயல்படுத்தவும்.

இதே போன்ற தீர்வுகள்

சான்றிதழ்களைப் பெற நெறிமுறைகளும் பயன்படுத்தப்படுகின்றன SCEP и ஞா.

முதலாவது சிஸ்கோ சிஸ்டம்ஸில் உருவாக்கப்பட்டது. X.509 டிஜிட்டல் சான்றிதழ்களை வழங்குவதற்கான நடைமுறையை எளிதாக்குவது மற்றும் அதை முடிந்தவரை அளவிடக்கூடியதாக மாற்றுவது இதன் இலக்காக இருந்தது. SCEP க்கு முன், இந்த செயல்முறைக்கு கணினி நிர்வாகிகளின் செயலில் பங்கேற்பு தேவைப்பட்டது மற்றும் சரியாக அளவிடப்படவில்லை. இன்று இந்த நெறிமுறை மிகவும் பொதுவான ஒன்றாகும்.

EST ஐப் பொறுத்தவரை, இது PKI கிளையண்டுகள் பாதுகாப்பான சேனல்கள் மூலம் சான்றிதழ்களைப் பெற அனுமதிக்கிறது. இது செய்தி பரிமாற்றம் மற்றும் SSL வழங்கல் மற்றும் அனுப்புநருடன் CSR ஐ இணைக்க TLS ஐப் பயன்படுத்துகிறது. கூடுதலாக, EST நீள்வட்ட குறியாக்க முறைகளை ஆதரிக்கிறது, இது கூடுதல் பாதுகாப்பு அடுக்கை உருவாக்குகிறது.

மீது நிபுணர் கருத்து, ACME போன்ற தீர்வுகள் இன்னும் பரவலாக வேண்டும். அவை எளிமையான மற்றும் பாதுகாப்பான SSL அமைவு மாதிரியை வழங்குகின்றன, மேலும் செயல்முறையை விரைவுபடுத்துகின்றன.

எங்கள் நிறுவன வலைப்பதிவிலிருந்து கூடுதல் இடுகைகள்:

ஆதாரம்: www.habr.com

கருத்தைச் சேர்