IETF ఆమోదించబడింది ఆటోమేటిక్ సర్టిఫికేట్ మేనేజ్మెంట్ ఎన్విరాన్మెంట్ (ACME), ఇది SSL సర్టిఫికేట్ల స్వీకరణను ఆటోమేట్ చేయడంలో సహాయపడుతుంది. ఇది ఎలా పని చేస్తుందో చెప్పండి.
/flickr/ /
ప్రమాణం ఎందుకు అవసరం?
ఒక్కో సెట్టింగ్కి సగటు ఒక డొమైన్ కోసం, ఒక నిర్వాహకుడు ఒకటి నుండి మూడు గంటల వరకు వెచ్చించవచ్చు. మీరు పొరపాటు చేస్తే, దరఖాస్తు తిరస్కరించబడే వరకు మీరు వేచి ఉండాలి, ఆ తర్వాత మాత్రమే దానిని మళ్లీ సమర్పించవచ్చు. ఇవన్నీ పెద్ద ఎత్తున వ్యవస్థలను మోహరించడం కష్టతరం చేస్తుంది.
ప్రతి ధృవీకరణ అధికారానికి డొమైన్ ధ్రువీకరణ విధానం భిన్నంగా ఉండవచ్చు. ప్రమాణీకరణ లేకపోవడం కొన్నిసార్లు భద్రతా సమస్యలకు దారితీస్తుంది. ప్రసిద్ధి సిస్టమ్లోని బగ్ కారణంగా, ఒక CA అన్ని డిక్లేర్డ్ డొమైన్లను ధృవీకరించినప్పుడు. అటువంటి పరిస్థితులలో, మోసపూరిత వనరులకు SSL ప్రమాణపత్రాలు జారీ చేయబడతాయి.
IETF-ఆమోదించిన ACME ప్రోటోకాల్ (స్పెసిఫికేషన్ ) సర్టిఫికేట్ పొందే ప్రక్రియను స్వయంచాలకంగా మరియు ప్రమాణీకరించాలి. మరియు మానవ కారకాన్ని తొలగించడం డొమైన్ పేరు ధృవీకరణ యొక్క విశ్వసనీయత మరియు భద్రతను పెంచడంలో సహాయపడుతుంది.
ప్రమాణం తెరిచి ఉంది మరియు ఎవరైనా దాని అభివృద్ధికి సహకరించవచ్చు. IN సూచనలు ప్రచురించబడ్డాయి.
ఎలా పని చేస్తుంది
ACMEలోని అభ్యర్థనలు JSON సందేశాలను ఉపయోగించి HTTPS ద్వారా మార్పిడి చేయబడతాయి. ప్రోటోకాల్తో పని చేయడానికి, మీరు టార్గెట్ నోడ్లో ACME క్లయింట్ను ఇన్స్టాల్ చేయాలి; ఇది మొదటిసారి CAని యాక్సెస్ చేసినప్పుడు ప్రత్యేకమైన కీ జతను ఉత్పత్తి చేస్తుంది. తదనంతరం, అన్ని క్లయింట్ మరియు సర్వర్ సందేశాలపై సంతకం చేయడానికి అవి ఉపయోగించబడతాయి.
మొదటి సందేశం డొమైన్ యజమాని గురించి సంప్రదింపు సమాచారాన్ని కలిగి ఉంది. ఇది ప్రైవేట్ కీతో సంతకం చేయబడింది మరియు పబ్లిక్ కీతో పాటు సర్వర్కు పంపబడుతుంది. ఇది సంతకం యొక్క ప్రామాణికతను తనిఖీ చేస్తుంది మరియు ప్రతిదీ క్రమంలో ఉంటే, SSL ప్రమాణపత్రాన్ని జారీ చేసే విధానాన్ని ప్రారంభిస్తుంది.
ధృవీకరణ పత్రాన్ని పొందడానికి, క్లయింట్ తప్పనిసరిగా డొమైన్ను కలిగి ఉందని సర్వర్కు నిరూపించాలి. ఇది చేయుటకు, అతను యజమానికి మాత్రమే అందుబాటులో ఉండే కొన్ని చర్యలను చేస్తాడు. ఉదాహరణకు, ఒక సర్టిఫికేట్ అథారిటీ ఒక ప్రత్యేకమైన టోకెన్ను రూపొందించి, దానిని సైట్లో ఉంచమని క్లయింట్ని అడగవచ్చు. తర్వాత, ఈ టోకెన్ నుండి కీని సంగ్రహించడానికి CA వెబ్ లేదా DNS ప్రశ్నను జారీ చేస్తుంది.
ఉదాహరణకు, HTTP విషయంలో, టోకెన్ నుండి కీ తప్పనిసరిగా వెబ్ సర్వర్ ద్వారా అందించబడే ఫైల్లో ఉంచబడుతుంది. DNS ధృవీకరణ సమయంలో, ధృవీకరణ అధికారం DNS రికార్డ్ యొక్క టెక్స్ట్ డాక్యుమెంట్లో ప్రత్యేకమైన కీ కోసం చూస్తుంది. ప్రతిదీ క్రమంలో ఉంటే, క్లయింట్ ధృవీకరించబడిందని సర్వర్ నిర్ధారిస్తుంది మరియు CA ప్రమాణపత్రాన్ని జారీ చేస్తుంది.
/flickr/ /
అభిప్రాయాలు
న IETF, ACME బహుళ డొమైన్ పేర్లతో పని చేసే నిర్వాహకులకు ఉపయోగకరంగా ఉంటుంది. వాటిలో ప్రతి ఒక్కటి కావలసిన SSLతో అనుబంధించడానికి ప్రమాణం సహాయం చేస్తుంది.
ప్రమాణం యొక్క ప్రయోజనాలలో, నిపుణులు కూడా చాలా మందిని గమనించారు . SSL సర్టిఫికేట్లు నిజమైన రిజిస్ట్రెంట్లకు మాత్రమే జారీ చేయబడతాయని వారు నిర్ధారించుకోవాలి. ప్రత్యేకించి, DNS దాడుల నుండి రక్షించడానికి పొడిగింపుల సమితి ఉపయోగించబడుతుంది. , మరియు DoS నుండి రక్షించడానికి, ప్రమాణం వ్యక్తిగత అభ్యర్థనల అమలు వేగాన్ని పరిమితం చేస్తుంది - ఉదాహరణకు, పద్ధతి కోసం HTTP . ACME డెవలపర్లు స్వయంగా భద్రతను పెంచడానికి, DNS ప్రశ్నలకు ఎంట్రోపీని జోడించి, నెట్వర్క్లోని అనేక పాయింట్ల నుండి వాటిని అమలు చేయండి.
ఇలాంటి పరిష్కారాలు
సర్టిఫికేట్లను పొందేందుకు ప్రోటోకాల్లు కూడా ఉపయోగించబడతాయి. и .
మొదటిది సిస్కో సిస్టమ్స్ ద్వారా అభివృద్ధి చేయబడింది. దీని లక్ష్యం X.509 డిజిటల్ సర్టిఫికేట్లను జారీ చేసే విధానాన్ని సులభతరం చేయడం మరియు వీలైనంత స్కేలబుల్గా చేయడం. SCEP రాకముందు, ఈ ప్రక్రియకు సిస్టమ్ అడ్మినిస్ట్రేటర్ల క్రియాశీల భాగస్వామ్యం అవసరం మరియు బాగా స్కేల్ చేయలేదు. నేడు, ఈ ప్రోటోకాల్ అత్యంత సాధారణమైనది.
EST కొరకు, ఇది PKI క్లయింట్లను సురక్షిత ఛానెల్ల ద్వారా సర్టిఫికేట్లను పొందేందుకు అనుమతిస్తుంది. ఇది సందేశం పంపడం మరియు SSL జారీ చేయడం కోసం TLSని ఉపయోగిస్తుంది, అలాగే CSRని పంపినవారికి బైండింగ్ చేస్తుంది. అదనంగా, EST ఎలిప్టిక్ క్రిప్టోగ్రఫీ పద్ధతులకు మద్దతు ఇస్తుంది, ఇది అదనపు రక్షణ పొరను సృష్టిస్తుంది.
న , ACME వంటి పరిష్కారాలు మరింత విస్తృతంగా అవలంబించవలసి ఉంటుంది. వారు సరళీకృత మరియు సురక్షితమైన SSL సెటప్ మోడల్ను అందిస్తారు మరియు ప్రక్రియను వేగవంతం చేస్తారు.
మా కార్పొరేట్ బ్లాగ్ నుండి అదనపు పోస్ట్లు:
మూలం: www.habr.com