IETF 批准 自動證書管理環境 (ACME),這將有助於自動接收 SSL 證書。 讓我們告訴你它是如何工作的。
/flickr/ /
為什麼需要標準?
每個設置的平均值 對於域,管理員可以花費一到三個小時。 如果你犯了錯誤,你將不得不等到申請被拒絕,然後才能再次提交。 所有這些都使得部署大規模系統變得困難。
每個證書頒發機構的域驗證程序可能不同。 缺乏標準化有時會導致安全問題。 著名的 當時,由於系統中的錯誤,一個 CA 驗證了所有聲明的域。 在這種情況下,SSL 證書可以頒發給欺詐性資源。
IETF 批准的 ACME 協議(規範 ) 應使獲取證書的過程自動化和標準化。 而消除人為因素將有助於提高域名驗證的可靠性和安全性。
該標準是開放的,任何人都可以為其開發做出貢獻。 在 說明已經發布。
Какэтоработает
ACME 中的請求使用 JSON 消息通過 HTTPS 進行交換。 要使用該協議,您需要在目標節點上安裝 ACME 客戶端;它會在第一次訪問 CA 時生成一個唯一的密鑰對。 隨後,它們將用於簽署所有客戶端和服務器消息。
第一條消息包含域所有者的聯繫信息。 它用私鑰簽名並與公鑰一起發送到服務器。 它檢查簽名的真實性,如果一切正常,則開始頒發 SSL 證書的程序。
要獲得證書,客戶端必須向服務器證明它擁有該域。 為此,他執行某些僅對所有者可用的操作。 例如,證書頒發機構可以生成一個唯一的令牌並要求客戶將其放置在站點上。 接下來,CA 發出 Web 或 DNS 查詢以從此令牌中提取密鑰。
例如,在 HTTP 的情況下,來自令牌的密鑰必須放在一個文件中,該文件將由 Web 服務器提供服務。 在 DNS 驗證過程中,證書頒發機構將在 DNS 記錄的文本文檔中查找唯一密鑰。 如果一切正常,服務器會確認客戶端已通過驗證,並且 CA 會頒發證書。
/flickr/ /
意見
上 IETF,ACME 對必須使用多個域名的管理員很有用。 該標準將有助於將它們中的每一個與所需的 SSL 相關聯。
在該標準的優點中,專家們還指出了幾個 . 他們必須確保 SSL 證書僅頒發給域的真正所有者。 特別是,一組擴展用於防止 DNS 攻擊。 ,並且為了防止 DoS,該標準限制了單個請求的執行速度 - 例如,方法的 HTTP . ACME 開發者自己 為了提高安全性,向 DNS 查詢添加熵並從網絡中的多個點執行它們。
類似的解決方案
協議也用於獲取證書。 и .
第一個是由 Cisco Systems 開發的。 其目標是簡化頒發 X.509 數字證書的程序並使其盡可能具有可擴展性。 在 SCEP 出現之前,這個過程需要係統管理員的積極參與,而且擴展性不好。 今天,這個協議是最常見的協議之一。
至於 EST,它允許 PKI 客戶端通過安全通道獲取證書。 它使用 TLS 進行消息傳遞和頒發 SSL,以及將 CSR 綁定到發件人。 此外,EST 支持橢圓加密方法,從而創建一個額外的保護層。
上 ,需要更廣泛地採用像 ACME 這樣的解決方案。 他們提供了一個簡化且安全的 SSL 設置模型,並加快了這個過程。
來自我們公司博客的其他帖子:
來源: www.habr.com