Главная » Хабрахабр » IETF одобрили ACME — это стандарт для работы с SSL-сертификатами

IETF одобрили ACME — это стандарт для работы с SSL-сертификатами

IETF одобрили стандарт Automatic Certificate Management Environment (ACME), который поможет автоматизировать получение SSL-сертификатов. Расскажем, как это работает.


/ Flickr / Cliff Johnson / CC BY-SA

Зачем понадобился стандарт

В среднем на настройку SSL-сертификата для домена администратор может затратить от одного до трех часов. Если допустить ошибку, то придется ждать, пока заявка будет отклонена, только после этого её можно подать снова. Все это затрудняет развертывание масштабных систем.

Отсутствие стандартизации порой приводит к проблемам с безопасностью. Процедура валидации домена у каждого сертификационного центра может отличаться. В таких ситуациях SSL-сертификаты могут выдаваться мошенническим ресурсам. Известен случай, когда из-за бага в системе один CA верифицировал все заявленные домены.

А исключение человеческого фактора поможет повысить надежность и безопасность верификации доменного имени. Одобренный IETF протокол ACME (спецификация RFC8555) должен автоматизировать и стандартизировать процесс получения сертификата.

В репозитории на GitHub опубликованы соответствующие инструкции. Стандарт является открытым, и внести вклад в его разработку могут все желающие.

Как это работает

Обмен запросами в ACME происходит по HTTPS с помощью JSON-сообщений. Для работы с протоколом необходимо установить на целевой узел ACME-клиент, он генерирует уникальную пару ключей при первом обращении к CA. Впоследствии они будут использоваться для постановки подписи на всех сообщениях клиента и сервера.

Оно подписывается закрытым ключом и вместе с открытым ключом отправляется серверу. Первое сообщение содержит контактную информацию о владельце домена. Он проверяет подлинность подписи и, если все в порядке, начинает процедуру выдачи SSL-сертификата.

Для этого он совершает определённые действия, доступные только собственнику. Чтобы получить сертификат клиент должен доказать серверу факт владения доменом. Далее, CA формирует веб- или DNS- запрос для извлечения ключа из этого токена. Например, центр сертификации может сгенерировать уникальный токен и попросить клиента разместить его на сайте.

При DNS-верификации сертификационный центр будет искать уникальный ключ в текстовом документе DNS-записи. К примеру, в случае с HTTP ключ из токена необходимо поместить в файл, который будет обслуживаться веб-сервером. Если всё в порядке, сервер подтверждает, что клиент прошел валидацию и CA выпускает сертификат.


/ Flickr / Blondinrikard Fröberg / CC BY

Мнения

По словам IETF, ACME будет полезен администраторам, которым приходится работать с несколькими доменными именами. Стандарт поможет связать каждый из них с нужными SSL.

Они должны гарантировать, что SSL-сертификаты выдаются только настоящим владельцам доменов. Среди достоинств стандарта эксперты также отмечают несколько механизмов безопасности. Сами разработчики ACME рекомендуют для повышения безопасности добавлять энтропию к DNS-запросам и выполнять их из нескольких точек сети. В частности, для защиты от DNS-атак применяется набор расширений DNSSEC, а для защиты от DoS стандарт ограничивает скорость выполнения отдельных запросов — например, HTTP для метода POST.

Похожие решения

Для получения сертификатов также применяют протоколы SCEP и EST.

Его целью было упростить процедуру выдачи цифровых сертификатов X. Первый был разработан в Cisco Systems. До появления SCEP этот процесс требовал активного участия сисадминов и плохо масштабировался. 509 и сделать её максимально масштабируемой. Сегодня этот протокол является одним из наиболее распространённых.

Он применяет TLS для передачи сообщений и выпуска SSL, а также для привязки CSR к отправителю. Что касается EST, то он позволяет PKI-клиентам получать сертификаты по безопасным каналам. Кроме того, EST поддерживает методы эллиптической криптографии, что создает дополнительный уровень защиты.

Они предлагают упрощенную и безопасную модель настройки SSL, а также ускоряют процесс. По мнению экспертов, решения вроде ACME должны будут получить более широкое распространение.

Дополнительные посты из нашего корпоративного блога:


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Об удалении тренда из экспериментальных данных

При анализе экспериментально полученных стационарных временных рядов, как правило, при предварительной подготовке (препроцессинге) данных возникает необходимость в подавлении имеющегося в них тренда. Здесь будет предложен «новый» метод выделения тренда — простой, очевидный и пригодный для очень сложных видов тренда. Наиболее ...

Crew Dragon взорвался

Ранее он успешно слетал к Международной космической станции в беспилотном режиме и вернулся на Землю. Космический корабль компании SpaceX Crew Dragon вчера взорвался при наземном испытании системы аварийного спасения. Двигатели SuperDraco должны осуществлять аварийное катапультирование корабля, если произойдет нештатная ситуация ...