โปรโฮสต์ > บล็อก > การบริหาร > IETF อนุมัติ ACME ซึ่งเป็นมาตรฐานสำหรับการทำงานกับใบรับรอง SSL

IETF อนุมัติ ACME ซึ่งเป็นมาตรฐานสำหรับการทำงานกับใบรับรอง SSL

IETF ได้รับการอนุมัติ มาตรฐาน Automatic Certificate Management Environment (ACME) ซึ่งจะช่วยให้รับใบรับรอง SSL โดยอัตโนมัติ มาบอกวิธีการทำงาน

IETF อนุมัติ ACME ซึ่งเป็นมาตรฐานสำหรับการทำงานกับใบรับรอง SSL
/flickr/ คลิฟฟ์ จอห์นสัน / CC BY-SA

ทำไมมาตรฐานจึงจำเป็น?

เฉลี่ยต่อการตั้งค่า ใบรับรอง SSL สำหรับโดเมน ผู้ดูแลระบบสามารถใช้เวลาหนึ่งถึงสามชั่วโมง หากคุณทำผิดพลาด คุณจะต้องรอจนกว่าใบสมัครจะถูกปฏิเสธ หลังจากนั้นจึงจะสามารถส่งได้อีกครั้ง ทั้งหมดนี้ทำให้การปรับใช้ระบบขนาดใหญ่ทำได้ยาก

ขั้นตอนการตรวจสอบความถูกต้องของโดเมนอาจแตกต่างกันไปสำหรับผู้ออกใบรับรองแต่ละราย การขาดมาตรฐานบางครั้งนำไปสู่ปัญหาด้านความปลอดภัย มีชื่อเสียง ที่เกิดขึ้นเมื่อเกิดข้อผิดพลาดในระบบ CA หนึ่งรายจะตรวจสอบโดเมนที่ประกาศทั้งหมด ในสถานการณ์ดังกล่าว สามารถออกใบรับรอง SSL ให้กับทรัพยากรที่หลอกลวงได้

โปรโตคอล ACME ที่ได้รับการรับรองจาก IETF (ข้อมูลจำเพาะ RFC8555) ควรทำให้กระบวนการขอใบรับรองเป็นไปโดยอัตโนมัติและเป็นมาตรฐาน และการขจัดปัจจัยด้านบุคคลจะช่วยเพิ่มความน่าเชื่อถือและความปลอดภัยของการตรวจสอบชื่อโดเมน

มาตรฐานเปิดกว้างและทุกคนสามารถมีส่วนร่วมในการพัฒนาได้ ใน ที่เก็บบน GitHub คำแนะนำได้รับการเผยแพร่

Какэтоработает

คำขอใน ACME มีการแลกเปลี่ยนผ่าน HTTPS โดยใช้ข้อความ JSON ในการทำงานกับโปรโตคอล คุณต้องติดตั้งไคลเอนต์ ACME บนโหนดเป้าหมาย ซึ่งจะสร้างคู่คีย์เฉพาะในครั้งแรกที่เข้าถึง CA จากนั้นจะใช้เพื่อลงนามในข้อความไคลเอ็นต์และเซิร์ฟเวอร์ทั้งหมด

ข้อความแรกมีข้อมูลติดต่อเกี่ยวกับเจ้าของโดเมน มีการเซ็นชื่อด้วยรหัสส่วนตัวและส่งไปยังเซิร์ฟเวอร์พร้อมกับรหัสสาธารณะ จะตรวจสอบความถูกต้องของลายเซ็น และหากทุกอย่างเป็นไปตามลำดับ จะเริ่มขั้นตอนการออกใบรับรอง SSL

ในการรับใบรับรอง ไคลเอนต์ต้องพิสูจน์ให้เซิร์ฟเวอร์เห็นว่าตนเป็นเจ้าของโดเมน ในการทำเช่นนี้เขาดำเนินการบางอย่างที่มีให้สำหรับเจ้าของเท่านั้น ตัวอย่างเช่น ผู้ออกใบรับรองสามารถสร้างโทเค็นเฉพาะและขอให้ลูกค้าวางโทเค็นบนไซต์ ถัดไป CA จะออกแบบสอบถามเว็บหรือ DNS เพื่อดึงคีย์จากโทเค็นนี้

ตัวอย่างเช่น ในกรณีของ HTTP คีย์จากโทเค็นจะต้องอยู่ในไฟล์ที่เว็บเซิร์ฟเวอร์จะให้บริการ ในระหว่างการตรวจสอบ DNS ผู้ออกใบรับรองจะค้นหารหัสเฉพาะในเอกสารข้อความของระเบียน DNS หากทุกอย่างเรียบร้อย เซิร์ฟเวอร์จะยืนยันว่าไคลเอนต์ได้รับการตรวจสอบแล้ว และ CA จะออกใบรับรองให้

IETF อนุมัติ ACME ซึ่งเป็นมาตรฐานสำหรับการทำงานกับใบรับรอง SSL
/flickr/ บลอนดินริการ์ด โฟรเบิร์ก / CC BY

ความคิดเห็น

บน ตาม IETF, ACME จะเป็นประโยชน์สำหรับผู้ดูแลระบบที่ต้องทำงานกับชื่อโดเมนหลายชื่อ มาตรฐานจะช่วยเชื่อมโยงแต่ละรายการกับ SSL ที่ต้องการ

ในข้อดีของมาตรฐานนี้ ผู้เชี่ยวชาญยังกล่าวถึงอีกหลายประการ กลไกความปลอดภัย. พวกเขาต้องตรวจสอบให้แน่ใจว่าใบรับรอง SSL นั้นออกให้กับผู้ลงทะเบียนจริงเท่านั้น โดยเฉพาะอย่างยิ่ง ชุดส่วนขยายจะใช้เพื่อป้องกันการโจมตี DNS DNSSECและเพื่อป้องกัน DoS มาตรฐานจะจำกัดความเร็วในการดำเนินการของแต่ละคำขอ ตัวอย่างเช่น HTTP สำหรับเมธอด POST. ผู้พัฒนา ACME เอง แนะนำ เพื่อเพิ่มความปลอดภัย เพิ่มเอนโทรปีในการสืบค้น DNS และดำเนินการจากหลายจุดในเครือข่าย

โซลูชันที่คล้ายกัน

โปรโตคอลยังใช้เพื่อรับใบรับรอง สกพ и EST.

ตัวแรกได้รับการพัฒนาโดย Cisco Systems เป้าหมายคือลดความซับซ้อนของขั้นตอนการออกใบรับรองดิจิทัล X.509 และทำให้ปรับขนาดได้มากที่สุดเท่าที่จะเป็นไปได้ ก่อนการถือกำเนิดของ SCEP กระบวนการนี้ต้องการการมีส่วนร่วมอย่างแข็งขันของผู้ดูแลระบบและปรับขนาดได้ไม่ดีนัก วันนี้โปรโตคอลนี้เป็นหนึ่งในโปรโตคอลที่พบมากที่สุด

สำหรับ EST นั้นอนุญาตให้ไคลเอนต์ PKI รับใบรับรองผ่านช่องทางที่ปลอดภัย มันใช้ TLS สำหรับการส่งข้อความและออก SSL เช่นเดียวกับการผูก CSR กับผู้ส่ง นอกจากนี้ EST ยังรองรับวิธีการเข้ารหัสแบบวงรี ซึ่งสร้างชั้นการป้องกันเพิ่มเติม

บน ความคิดเห็นของผู้เชี่ยวชาญโซลูชันเช่น ACME จะต้องได้รับการนำไปใช้อย่างแพร่หลายมากขึ้น พวกเขานำเสนอรูปแบบการตั้งค่า SSL ที่ง่ายและปลอดภัย และยังเพิ่มความเร็วให้กับกระบวนการอีกด้วย

โพสต์เพิ่มเติมจากบล็อกบริษัทของเรา:

ที่มา: will.com

เพิ่มความคิดเห็น