IETF схвалили Automatic Certificate Management Environment (ACME), який допоможе автоматизувати отримання SSL-сертифікатів. Розкажемо, як це працює.
/Flickr/ /
Навіщо знадобився стандарт
В середньому на налаштування для домену адміністратор може витратити від XNUMX до XNUMX годин. Якщо припуститися помилки, то доведеться чекати, поки заявку буде відхилено, тільки після цього її можна подати знову. Все це ускладнює розгортання масштабних систем.
Процедура валідації домену кожного сертифікаційного центру може відрізнятися. Відсутність стандартизації часом призводить до проблем безпеки. Відомий , коли через баг в системі один CA верифікував всі заявлені домени. У таких ситуаціях SSL-сертифікати можуть видаватися шахрайським ресурсам.
Схвалений протокол IETF ACME (специфікація ) повинен автоматизувати та стандартизувати процес отримання сертифіката. А виняток людського чинника допоможе підвищити надійність та безпеку верифікації доменного імені.
Стандарт є відкритим, і зробити внесок у його розробку можуть усі охочі. У опубліковано відповідні інструкції.
Як це працює
Обмін запитами в ACME відбувається через HTTPS за допомогою JSON-повідомлень. Для роботи з протоколом необхідно встановити цільовий вузол ACME-клієнт, він генерує унікальну пару ключів при першому зверненні до CA. Згодом вони будуть використовуватися для встановлення підпису на всіх повідомленнях клієнта та сервера.
Перше повідомлення містить контактну інформацію про власника домену. Воно підписується закритим ключем і разом із відкритим ключем відправляється серверу. Він перевіряє справжність підпису і, якщо все гаразд, розпочинає процедуру видачі SSL-сертифіката.
Щоб отримати сертифікат, клієнт повинен довести серверу факт володіння доменом. І тому він здійснює певні дії, доступні лише власнику. Наприклад, центр сертифікації може створити унікальний токен і попросити клієнта розмістити його на сайті. Далі CA формує веб- або DNS-запит для вилучення ключа з цього токена.
Наприклад, у випадку з HTTP ключ з токена необхідно помістити у файл, який обслуговуватиметься веб-сервером. Під час DNS-верифікації сертифікаційний центр шукатиме унікальний ключ у текстовому документі DNS-запису. Якщо все гаразд, сервер підтверджує, що клієнт пройшов валідацію та CA випускає сертифікат.
/Flickr/ /
Думки
За IETF, ACME буде корисним адміністраторам, яким доводиться працювати з кількома доменними іменами. Стандарт допоможе пов'язати кожен із них із потрібними SSL.
Серед переваг стандарту експерти також відзначають кілька . Вони повинні гарантувати, що SSL-сертифікати видаються лише справжнім власникам доменів. Зокрема, для захисту від DNS-атак застосовується набір розширень , а для захисту від DoS стандарт обмежує швидкість виконання окремих запитів - наприклад, HTTP для методу . Самі розробники ACME для підвищення безпеки додавати ентропію до DNS-запитів та виконувати їх із кількох точок мережі.
Схожі рішення
Для отримання сертифікатів також застосовують протоколи и .
Перший був розроблений у Cisco Systems. Його метою було спростити процедуру видачі цифрових сертифікатів X.509 та зробити її максимально масштабованою. До появи SCEP цей процес вимагав активної участі сисадмінів та погано масштабувався. Сьогодні цей протокол є одним із найпоширеніших.
Що стосується EST, то він дозволяє PKI-клієнтам отримувати сертифікати безпечними каналами. Він застосовує TLS для передачі повідомлень та випуску SSL, а також для прив'язки CSR до відправника. Крім того, EST підтримує методи еліптичної криптографії, що створює додатковий рівень захисту.
За , рішення на кшталт ACME повинні будуть набути більш широкого поширення. Вони пропонують спрощену та безпечну модель налаштування SSL, а також прискорюють процес.
Додаткові посади з нашого корпоративного блогу:
Джерело: habr.com