IETF tasdiqlangan Avtomatik sertifikatlarni boshqarish muhiti (ACME), bu SSL sertifikatlarini olishni avtomatlashtirishga yordam beradi. Keling, sizga qanday ishlashini aytib beraylik.
/Flickr/ /
Standart nima uchun kerak edi?
Har bir sozlama uchun o'rtacha domen uchun administrator bir soatdan uch soatgacha vaqt sarflashi mumkin. Agar siz xatoga yo'l qo'ysangiz, ariza rad etilishini kutishingiz kerak, shundan keyingina uni qayta topshirishingiz mumkin. Bularning barchasi keng ko'lamli tizimlarni joylashtirishni qiyinlashtiradi.
Har bir sertifikatlashtirish organi uchun domenni tekshirish tartibi farq qilishi mumkin. Standartlashtirishning yo'qligi ba'zan xavfsizlik muammolariga olib keladi. Mashhur tizimdagi xatolik tufayli bitta CA barcha e'lon qilingan domenlarni tekshirganda. Bunday vaziyatlarda SSL sertifikatlari soxta manbalarga berilishi mumkin.
IETF tomonidan tasdiqlangan ACME protokoli (spetsifikatsiya ) sertifikat olish jarayonini avtomatlashtirishi va standartlashtirishi kerak. Va inson omilini bartaraf etish domen nomini tekshirishning ishonchliligi va xavfsizligini oshirishga yordam beradi.
Standart ochiq va har kim uning rivojlanishiga hissa qo'shishi mumkin. IN Tegishli ko'rsatmalar e'lon qilindi.
U qanday ishlaydi
So'rovlar JSON xabarlari yordamida HTTPS orqali ACME'da almashiladi. Protokol bilan ishlash uchun siz ACME mijozini maqsadli tugunga o'rnatishingiz kerak; u CA ga birinchi marta kirganingizda noyob kalit juftligini yaratadi. Keyinchalik, ular mijoz va serverdan kelgan barcha xabarlarni imzolash uchun ishlatiladi.
Birinchi xabarda domen egasi haqidagi aloqa ma'lumotlari mavjud. U shaxsiy kalit bilan imzolanadi va ochiq kalit bilan birga serverga yuboriladi. U imzoning haqiqiyligini tekshiradi va agar hamma narsa tartibda bo'lsa, SSL sertifikatini berish tartibini boshlaydi.
Sertifikat olish uchun mijoz serverga domenga tegishli ekanligini isbotlashi kerak. Buning uchun u faqat egasiga tegishli bo'lgan muayyan harakatlarni amalga oshiradi. Misol uchun, sertifikat organi noyob token ishlab chiqishi va mijozdan uni saytga joylashtirishni so'rashi mumkin. Keyinchalik, CA ushbu tokendan kalitni olish uchun veb yoki DNS so'rovini chiqaradi.
Misol uchun, HTTP holatida token kaliti veb-server tomonidan xizmat ko'rsatadigan faylga joylashtirilishi kerak. DNS tekshiruvi vaqtida sertifikatlashtirish organi DNS yozuvining matn hujjatida noyob kalitni qidiradi. Agar hamma narsa yaxshi bo'lsa, server mijozning tasdiqlanganligini tasdiqlaydi va CA sertifikat beradi.
/Flickr/ /
Xabarlar
haqida IETF, ACME bir nechta domen nomlari bilan ishlashga majbur bo'lgan ma'murlar uchun foydali bo'ladi. Standart ularning har birini kerakli SSL-larga ulashga yordam beradi.
Standartning afzalliklari qatorida mutaxassislar bir nechta narsalarni ham ta'kidlashadi . Ular SSL sertifikatlari faqat haqiqiy domen egalariga berilishini ta'minlashi kerak. Xususan, DNS hujumlaridan himoya qilish uchun kengaytmalar to'plami qo'llaniladi , va DoS dan himoya qilish uchun standart individual so'rovlarni bajarish tezligini cheklaydi - masalan, usul uchun HTTP . ACME ishlab chiquvchilari o'zlari Xavfsizlikni yaxshilash uchun DNS so'rovlariga entropiya qo'shing va ularni tarmoqdagi bir nechta nuqtadan bajaring.
Shunga o'xshash echimlar
Sertifikatlarni olish uchun protokollar ham qo'llaniladi и .
Birinchisi Cisco Systems kompaniyasida ishlab chiqilgan. Uning maqsadi X.509 raqamli sertifikatlarini berish tartibini soddalashtirish va uni imkon qadar kengaytiriladigan qilish edi. SCEPdan oldin bu jarayon tizim ma'murlarining faol ishtirokini talab qildi va yaxshi miqyosda bo'lmadi. Bugungi kunda ushbu protokol eng keng tarqalganlardan biri hisoblanadi.
ESTga kelsak, u PKI mijozlariga xavfsiz kanallar orqali sertifikat olish imkonini beradi. U xabarlarni uzatish va SSL chiqarish, shuningdek, CSRni jo'natuvchiga ulash uchun TLS dan foydalanadi. Bundan tashqari, EST qo'shimcha xavfsizlik qatlamini yaratadigan elliptik kriptografiya usullarini qo'llab-quvvatlaydi.
haqida , ACME kabi echimlar yanada kengroq bo'lishi kerak. Ular soddalashtirilgan va xavfsiz SSL o'rnatish modelini taklif qiladi va jarayonni tezlashtiradi.
Bizning korporativ blogimizdan qo'shimcha xabarlar:
Manba: www.habr.com