IETF тасдиқ карда шуд Муҳити идоракунии сертификатсияи худкор (ACME), ки ба автоматикунонии гирифтани сертификатҳои SSL кӯмак мекунад. Биёед ба шумо мегӯям, ки он чӣ тавр кор мекунад.
/Flickr/ /
Чаро стандарт лозим буд?
Миёна барои як танзимот барои домен, администратор метавонад аз як то се соат сарф кунад. Агар шумо хато кунед, шумо бояд то рад шудани ариза интизор шавед, танҳо пас аз он метавонад дубора пешниҳод карда шавад. Хамаи ин чойгир кардани системахои калонхачмро душвор мегардонад.
Тартиби тасдиқи домен барои ҳар як мақоми сертификатсия метавонад фарқ кунад. Набудани стандартизатсия баъзан ба мушкилоти амният оварда мерасонад. машхур вақте ки бо сабаби хатогӣ дар система, як CA ҳамаи доменҳои эълоншударо тасдиқ кард. Дар чунин ҳолатҳо, шаҳодатномаҳои SSL метавонанд ба захираҳои қаллобӣ дода шаванд.
IETF протоколи ACME-ро тасдиқ кард (мушаххасот ) бояд процесси гирифтани шаходатнома автоматй ва стандартй кунонда шавад. Ва аз байн бурдани омили инсонӣ ба баланд бардоштани эътимоднокӣ ва амнияти санҷиши номи домен мусоидат мекунад.
Стандарт кушода аст ва ҳар кас метавонад дар рушди он саҳм гузорад. ДАР Дастурхои дахлдор чоп карда шудаанд.
Чӣ тавр ба ин кор
Дархостҳо дар ACME тавассути HTTPS бо истифода аз паёмҳои JSON мубодила карда мешаванд. Барои кор бо протокол, шумо бояд муштарии ACME-ро дар гиреҳи ҳадаф насб кунед; он ҳангоми бори аввал ворид шудан ба CA ҷуфти калидҳои беназир тавлид мекунад. Минбаъд онҳо барои имзои ҳама паёмҳо аз муштарӣ ва сервер истифода мешаванд.
Паёми аввал дорои маълумоти тамос дар бораи соҳиби домен мебошад. Он бо калиди хусусӣ имзо карда мешавад ва дар якҷоягӣ бо калиди ҷамъиятӣ ба сервер фиристода мешавад. Он ҳаққонияти имзоро тафтиш мекунад ва агар ҳама чиз дуруст бошад, тартиби додани сертификати SSL-ро оғоз мекунад.
Барои гирифтани сертификат, муштарӣ бояд ба сервер исбот кунад, ки соҳиби домен аст. Барои ин, ӯ амалҳои муайянеро иҷро мекунад, ки танҳо ба соҳиби он дастрас аст. Масалан, мақомоти сертификатсия метавонад як аломати беназир тавлид кунад ва аз муштарӣ хоҳиш кунад, ки онро дар сайт ҷойгир кунад. Баъдан, CA дархости веб ё DNS-ро барои гирифтани калид аз ин нишона медиҳад.
Масалан, дар мавриди HTTP, калиди токен бояд дар файле ҷойгир карда шавад, ки сервери веб хидмат мекунад. Ҳангоми санҷиши DNS, мақомоти сертификатсия дар ҳуҷҷати матнии сабти DNS калиди беназирро меҷӯянд. Агар ҳама чиз хуб бошад, сервер тасдиқ мекунад, ки муштарӣ тасдиқ шудааст ва CA сертификат медиҳад.
/Flickr/ /
Хабарҳо
Бо IETF, ACME барои маъмуроне муфид хоҳад буд, ки бояд бо якчанд номҳои домен кор кунанд. Стандарт барои пайваст кардани ҳар яки онҳо ба SSL-ҳои зарурӣ кӯмак мекунад.
Дар байни афзалиятҳои стандарт, коршиносон инчунин якчанд чизро қайд мекунанд . Онҳо бояд кафолат диҳанд, ки сертификатҳои SSL танҳо ба соҳибони домени ҳақиқӣ дода мешаванд. Аз ҷумла, маҷмӯи васеъшавӣ барои муҳофизат аз ҳамлаҳои DNS истифода мешавад , ва барои муҳофизат аз DoS, стандарт суръати иҷрои дархостҳои инфиродӣ - масалан, HTTP барои усулро маҳдуд мекунад . Худи таҳиягарони ACME Барои беҳтар кардани амният, энтропияро ба дархостҳои DNS илова кунед ва онҳоро аз якчанд нуқтаҳои шабака иҷро кунед.
Қарорҳои шабеҳ
Протоколҳо инчунин барои гирифтани шаҳодатномаҳо истифода мешаванд и .
Аввалин дар Cisco Systems таҳия шудааст. Ҳадафи он содда кардани тартиби додани сертификатҳои рақамии X.509 ва ба қадри имкон васеъ кардани он буд. Пеш аз SCEP, ин раванд иштироки фаъоли маъмурони системаро талаб мекард ва миқёси хуб надошт. Имрӯз ин протокол яке аз маъмултарин аст.
Дар мавриди EST, он ба мизоҷони PKI имкон медиҳад, ки тавассути каналҳои бехатар шаҳодатнома гиранд. Он TLS-ро барои интиқоли паёмҳо ва додани SSL ва инчунин барои пайваст кардани CSR ба ирсолкунанда истифода мебарад. Илова бар ин, EST усулҳои криптографияи эллиптикиро дастгирӣ мекунад, ки қабати иловагии амниятро эҷод мекунад.
Бо , ҳалли монанди ACME бояд бештар паҳн шавад. Онҳо модели соддакардашуда ва бехатари танзимоти SSL-ро пешниҳод мекунанд ва инчунин равандро суръат мебахшанд.
Мақолаҳои иловагӣ аз блоги корпоративии мо:
Манбаъ: will.com