IETF đã được phê duyệt Môi trường quản lý chứng chỉ tự động (ACME), sẽ giúp tự động hóa việc nhận chứng chỉ SSL. Hãy cho bạn biết nó hoạt động như thế nào.
/flickr/ /
Tại sao tiêu chuẩn lại cần thiết?
Trung bình mỗi cài đặt đối với một tên miền, quản trị viên có thể dành từ một đến ba giờ. Nếu làm sai, bạn sẽ phải đợi đến khi hồ sơ bị từ chối thì mới có thể gửi lại. Tất cả điều này gây khó khăn cho việc triển khai các hệ thống quy mô lớn.
Quy trình xác thực tên miền cho mỗi cơ quan chứng nhận có thể khác nhau. Thiếu tiêu chuẩn hóa đôi khi dẫn đến các vấn đề về bảo mật. Nổi tiếng khi, do lỗi trong hệ thống, một CA đã xác minh tất cả các miền đã khai báo. Trong những tình huống như vậy, chứng chỉ SSL có thể được cấp cho các tài nguyên lừa đảo.
Giao thức ACME được IETF phê duyệt (thông số kỹ thuật ) nên tự động hóa và tiêu chuẩn hóa quy trình lấy chứng chỉ. Và việc loại bỏ yếu tố con người sẽ giúp tăng độ tin cậy, bảo mật cho việc xác minh tên miền.
Tiêu chuẩn này mở và bất kỳ ai cũng có thể đóng góp vào sự phát triển của nó. TRONG Các hướng dẫn liên quan đã được xuất bản.
Làm thế nào nó hoạt động
Các yêu cầu được trao đổi trong ACME qua HTTPS bằng tin nhắn JSON. Để làm việc với giao thức, bạn cần cài đặt máy khách ACME trên nút đích; nó tạo ra một cặp khóa duy nhất trong lần đầu tiên bạn truy cập CA. Sau đó, chúng sẽ được sử dụng để ký tất cả các tin nhắn từ máy khách và máy chủ.
Tin nhắn đầu tiên chứa thông tin liên hệ về chủ sở hữu tên miền. Nó được ký bằng khóa riêng và gửi đến máy chủ cùng với khóa chung. Nó xác minh tính xác thực của chữ ký và nếu mọi thứ đều ổn, nó sẽ bắt đầu quy trình cấp chứng chỉ SSL.
Để có được chứng chỉ, khách hàng phải chứng minh với máy chủ rằng mình sở hữu tên miền. Để làm điều này, anh ta thực hiện một số hành động nhất định chỉ có chủ sở hữu mới có. Ví dụ: cơ quan cấp chứng chỉ có thể tạo mã thông báo duy nhất và yêu cầu khách hàng đặt nó trên trang web. Tiếp theo, CA đưa ra truy vấn web hoặc DNS để lấy khóa từ mã thông báo này.
Ví dụ: trong trường hợp HTTP, khóa từ mã thông báo phải được đặt trong một tệp sẽ được máy chủ web phân phát. Trong quá trình xác minh DNS, cơ quan cấp chứng chỉ sẽ tìm kiếm một khóa duy nhất trong tài liệu văn bản của bản ghi DNS. Nếu mọi thứ đều ổn, máy chủ xác nhận rằng máy khách đã được xác thực và CA sẽ cấp chứng chỉ.
/flickr/ /
ý kiến
Trên IETF, ACME sẽ hữu ích cho những quản trị viên phải làm việc với nhiều tên miền. Tiêu chuẩn này sẽ giúp liên kết từng loại với các SSL được yêu cầu.
Trong số những ưu điểm của tiêu chuẩn, các chuyên gia cũng lưu ý một số . Họ phải đảm bảo rằng chứng chỉ SSL chỉ được cấp cho chủ sở hữu tên miền chính hãng. Đặc biệt, một bộ tiện ích mở rộng được sử dụng để bảo vệ chống lại các cuộc tấn công DNS và để bảo vệ chống lại DoS, tiêu chuẩn giới hạn tốc độ thực hiện các yêu cầu riêng lẻ - ví dụ: HTTP cho phương thức . Bản thân các nhà phát triển ACME Để cải thiện tính bảo mật, hãy thêm entropy vào các truy vấn DNS và thực thi chúng từ nhiều điểm trên mạng.
Giải pháp tương tự
Các giao thức cũng được sử dụng để lấy chứng chỉ и .
Đầu tiên được phát triển tại Cisco Systems. Mục tiêu của nó là đơn giản hóa thủ tục cấp chứng chỉ kỹ thuật số X.509 và làm cho nó có khả năng mở rộng nhất có thể. Trước SCEP, quá trình này yêu cầu sự tham gia tích cực của quản trị viên hệ thống và không có quy mô tốt. Ngày nay giao thức này là một trong những giao thức phổ biến nhất.
Đối với EST, nó cho phép máy khách PKI lấy chứng chỉ qua các kênh an toàn. Nó sử dụng TLS để truyền tin nhắn và cấp SSL, cũng như ràng buộc CSR với người gửi. Ngoài ra, EST hỗ trợ các phương pháp mã hóa hình elip, tạo ra một lớp bảo mật bổ sung.
Trên , các giải pháp như ACME sẽ cần phải được phổ biến rộng rãi hơn. Họ cung cấp mô hình thiết lập SSL đơn giản và an toàn, đồng thời tăng tốc quá trình.
Các bài viết bổ sung từ blog công ty của chúng tôi:
Nguồn: www.habr.com