IETF کی منظوری دی گئی۔ آٹومیٹک سرٹیفکیٹ مینجمنٹ انوائرمنٹ (ACME)، جو SSL سرٹیفکیٹس کی وصولی کو خودکار بنانے میں مدد کرے گا۔ آئیے آپ کو بتاتے ہیں کہ یہ کیسے کام کرتا ہے۔
/flickr/ /
معیار کی ضرورت کیوں تھی؟
اوسط فی ترتیب ایک ڈومین کے لیے، منتظم ایک سے تین گھنٹے تک خرچ کر سکتا ہے۔ اگر آپ غلطی کرتے ہیں، تو آپ کو درخواست کے مسترد ہونے تک انتظار کرنا پڑے گا، اس کے بعد ہی اسے دوبارہ جمع کرایا جا سکتا ہے۔ یہ سب بڑے پیمانے پر نظام کو تعینات کرنا مشکل بناتا ہے۔
ہر سرٹیفیکیشن اتھارٹی کے لیے ڈومین کی توثیق کا طریقہ کار مختلف ہو سکتا ہے۔ معیاری کاری کا فقدان بعض اوقات حفاظتی مسائل کا باعث بنتا ہے۔ مشہور جب، سسٹم میں ایک بگ کی وجہ سے، ایک CA نے تمام اعلان کردہ ڈومینز کی تصدیق کی۔ ایسے حالات میں، SSL سرٹیفکیٹ دھوکہ دہی والے وسائل کو جاری کیے جا سکتے ہیں۔
IETF نے منظور شدہ ACME پروٹوکول (تفصیل ) کو سرٹیفکیٹ حاصل کرنے کے عمل کو خودکار اور معیاری بنانا چاہیے۔ اور انسانی عنصر کو ختم کرنے سے ڈومین نام کی تصدیق کی وشوسنییتا اور حفاظت کو بڑھانے میں مدد ملے گی۔
معیار کھلا ہے اور کوئی بھی اس کی ترقی میں اپنا حصہ ڈال سکتا ہے۔ میں متعلقہ ہدایات جاری کر دی گئی ہیں۔
یہ کیسے کام کرتا ہے
درخواستوں کا تبادلہ ACME میں HTTPS پر JSON پیغامات کا استعمال کرتے ہوئے کیا جاتا ہے۔ پروٹوکول کے ساتھ کام کرنے کے لیے، آپ کو ٹارگٹ نوڈ پر ACME کلائنٹ انسٹال کرنے کی ضرورت ہے؛ جب آپ پہلی بار CA تک رسائی حاصل کرتے ہیں تو یہ ایک منفرد کلیدی جوڑا تیار کرتا ہے۔ اس کے بعد، ان کا استعمال کلائنٹ اور سرور کے تمام پیغامات پر دستخط کرنے کے لیے کیا جائے گا۔
پہلا پیغام ڈومین کے مالک کے بارے میں رابطے کی معلومات پر مشتمل ہے۔ اس پر نجی کلید کے ساتھ دستخط کیے جاتے ہیں اور عوامی کلید کے ساتھ سرور کو بھیجے جاتے ہیں۔ یہ دستخط کی صداقت کی تصدیق کرتا ہے اور، اگر سب کچھ ترتیب میں ہے، تو SSL سرٹیفکیٹ جاری کرنے کا طریقہ کار شروع کرتا ہے۔
سرٹیفکیٹ حاصل کرنے کے لیے، کلائنٹ کو سرور پر ثابت کرنا ہوگا کہ وہ ڈومین کا مالک ہے۔ ایسا کرنے کے لیے، وہ کچھ اعمال انجام دیتا ہے جو صرف مالک کے لیے دستیاب ہے۔ مثال کے طور پر، ایک سرٹیفکیٹ اتھارٹی ایک منفرد ٹوکن بنا سکتی ہے اور کلائنٹ سے اسے سائٹ پر رکھنے کے لیے کہہ سکتی ہے۔ اس کے بعد، CA اس ٹوکن سے کلید حاصل کرنے کے لیے ویب یا DNS استفسار جاری کرتا ہے۔
مثال کے طور پر، HTTP کے معاملے میں، ٹوکن کی کلید کو ایک فائل میں رکھا جانا چاہیے جو ویب سرور کے ذریعے پیش کیا جائے گا۔ DNS تصدیق کے دوران، سرٹیفیکیشن اتھارٹی DNS ریکارڈ کے ٹیکسٹ دستاویز میں ایک منفرد کلید تلاش کرے گی۔ اگر سب کچھ ٹھیک ہے تو، سرور تصدیق کرتا ہے کہ کلائنٹ کی توثیق ہو گئی ہے اور CA ایک سرٹیفکیٹ جاری کرتا ہے۔
/flickr/ /
مراسلات
پر IETF, ACME ان منتظمین کے لیے مفید ہو گا جنہیں متعدد ڈومین ناموں کے ساتھ کام کرنا ہے۔ معیار ان میں سے ہر ایک کو مطلوبہ SSLs سے منسلک کرنے میں مدد کرے گا۔
معیار کے فوائد میں سے، ماہرین نے کئی کو بھی نوٹ کیا ہے۔ . انہیں یقینی بنانا چاہیے کہ SSL سرٹیفکیٹ صرف حقیقی ڈومین مالکان کو جاری کیے گئے ہیں۔ خاص طور پر، ڈی این ایس حملوں سے بچانے کے لیے ایکسٹینشن کا ایک سیٹ استعمال کیا جاتا ہے۔ ، اور DoS سے بچانے کے لیے، معیاری انفرادی درخواستوں پر عمل درآمد کی رفتار کو محدود کرتا ہے - مثال کے طور پر، طریقہ کے لیے HTTP . ACME ڈویلپرز خود سیکیورٹی کو بہتر بنانے کے لیے، ڈی این ایس سوالات میں اینٹروپی شامل کریں اور نیٹ ورک پر متعدد پوائنٹس سے ان پر عمل کریں۔
ملتے جلتے حل
سرٹیفکیٹ حاصل کرنے کے لیے پروٹوکول بھی استعمال کیے جاتے ہیں۔ и .
سب سے پہلے سسکو سسٹمز میں تیار کیا گیا تھا۔ اس کا مقصد X.509 ڈیجیٹل سرٹیفکیٹ جاری کرنے کے طریقہ کار کو آسان بنانا اور اسے ہر ممکن حد تک قابل توسیع بنانا تھا۔ ایس سی ای پی سے پہلے، اس عمل کے لیے سسٹم ایڈمنسٹریٹرز کی فعال شرکت کی ضرورت تھی اور اس کی پیمائش اچھی نہیں تھی۔ آج یہ پروٹوکول سب سے عام میں سے ایک ہے۔
جہاں تک EST کا تعلق ہے، یہ PKI کلائنٹس کو محفوظ چینلز پر سرٹیفکیٹ حاصل کرنے کی اجازت دیتا ہے۔ یہ پیغام کی منتقلی اور SSL جاری کرنے کے ساتھ ساتھ CSR کو بھیجنے والے کو پابند کرنے کے لیے TLS کا استعمال کرتا ہے۔ اس کے علاوہ، EST بیضوی خفیہ نگاری کے طریقوں کی حمایت کرتا ہے، جو سیکورٹی کی ایک اضافی تہہ بناتا ہے۔
پر ، ACME جیسے حل کو مزید وسیع ہونے کی ضرورت ہوگی۔ وہ ایک آسان اور محفوظ SSL سیٹ اپ ماڈل پیش کرتے ہیں اور اس عمل کو بھی تیز کرتے ہیں۔
ہمارے کارپوریٹ بلاگ سے اضافی پوسٹس:
ماخذ: www.habr.com