IETF onaylı SSL sertifikalarının alınmasını otomatikleştirmeye yardımcı olacak Otomatik Sertifika Yönetim Ortamı (ACME). Size nasıl çalıştığını anlatalım.
/flickr/ /
Standarda neden ihtiyaç duyuldu?
Ayar başına ortalama bir alan adı için yönetici bir ila üç saat harcayabilir. Bir hata yaparsanız, başvurunun reddedilmesini beklemek zorunda kalacaksınız, ancak o zaman tekrar gönderebilirsiniz. Bütün bunlar büyük ölçekli sistemlerin konuşlandırılmasını zorlaştırıyor.
Her sertifika yetkilisinin etki alanı doğrulama prosedürü farklı olabilir. Standardizasyon eksikliği bazen güvenlik sorunlarına yol açmaktadır. Ünlü sistemdeki bir hata nedeniyle bir CA, bildirilen tüm etki alanlarını doğruladığında. Bu gibi durumlarda sahte kaynaklara SSL sertifikaları verilebilir.
IETF onaylı ACME protokolü (şartname ) sertifika alma sürecini otomatikleştirmeli ve standartlaştırmalıdır. İnsan faktörünü ortadan kaldırmak, alan adı doğrulamanın güvenilirliğini ve güvenliğini artırmaya yardımcı olacaktır.
Standart açıktır ve herkes onun geliştirilmesine katkıda bulunabilir. İÇİNDE İlgili talimatlar yayınlandı.
Bu nasıl çalışıyor
İstekler ACME'de JSON mesajları kullanılarak HTTPS üzerinden değiştirilir. Protokolle çalışmak için ACME istemcisini hedef düğüme yüklemeniz gerekir; CA'ya ilk kez eriştiğinizde benzersiz bir anahtar çifti oluşturur. Daha sonra istemciden ve sunucudan gelen tüm mesajları imzalamak için kullanılacaklardır.
İlk mesaj, alan adı sahibine ilişkin iletişim bilgilerini içerir. Özel anahtarla imzalanır ve ortak anahtarla birlikte sunucuya gönderilir. İmzanın gerçekliğini doğrular ve her şey yolundaysa SSL sertifikası verme prosedürünü başlatır.
Sertifika almak için istemcinin sunucuya etki alanının sahibi olduğunu kanıtlaması gerekir. Bunu yapmak için yalnızca sahibin erişebileceği belirli eylemleri gerçekleştirir. Örneğin, bir sertifika yetkilisi benzersiz bir belirteç oluşturabilir ve müşteriden bunu siteye yerleştirmesini isteyebilir. Daha sonra CA, bu belirteçten anahtarı almak için bir web veya DNS sorgusu yayınlar.
Örneğin, HTTP durumunda, belirtecin anahtarının web sunucusu tarafından sunulacak bir dosyaya yerleştirilmesi gerekir. DNS doğrulaması sırasında sertifika yetkilisi, DNS kaydının metin belgesinde benzersiz bir anahtar arayacaktır. Her şey yolundaysa sunucu, istemcinin doğrulandığını doğrular ve CA bir sertifika verir.
/flickr/ /
görüşler
Üzerinde IETF, ACME, birden fazla alan adı ile çalışmak zorunda olan yöneticiler için faydalı olacaktır. Standart, her birinin gerekli SSL'lere bağlanmasına yardımcı olacaktır.
Uzmanlar, standardın avantajları arasında birkaç tanesine de dikkat çekiyor: . SSL sertifikalarının yalnızca gerçek alan adı sahiplerine verildiğinden emin olmalıdırlar. Özellikle DNS saldırılarına karşı koruma sağlamak için bir dizi uzantı kullanılır ve DoS'a karşı koruma sağlamak için standart, bireysel isteklerin yürütme hızını sınırlar - örneğin yöntem için HTTP . ACME geliştiricilerinin kendileri Güvenliği artırmak için DNS sorgularına entropi ekleyin ve bunları ağdaki birden çok noktadan yürütün.
Benzer çözümler
Protokoller sertifika almak için de kullanılır и .
İlki Cisco Systems'de geliştirildi. Amacı, X.509 dijital sertifikalarını verme prosedürünü basitleştirmek ve bunu mümkün olduğunca ölçeklenebilir hale getirmekti. SCEP'ten önce bu süreç, sistem yöneticilerinin aktif katılımını gerektiriyordu ve iyi ölçeklenmiyordu. Bugün bu protokol en yaygın olanlardan biridir.
EST'ye gelince, PKI istemcilerinin güvenli kanallar üzerinden sertifika almasına olanak tanır. Mesaj aktarımı ve SSL vermenin yanı sıra CSR'yi gönderene bağlamak için TLS'yi kullanır. Ayrıca EST, ek bir güvenlik katmanı oluşturan eliptik şifreleme yöntemlerini de destekler.
Üzerinde ACME gibi çözümlerin daha da yaygınlaşması gerekecek. Basitleştirilmiş ve güvenli bir SSL kurulum modeli sunarlar ve aynı zamanda süreci hızlandırırlar.
Kurumsal blogumuzdan ek gönderiler:
Kaynak: habr.com