IETF aprueba ACME: este es el estándar para trabajar con certificados SSL

El IETF ha aprobado el estándar ACME (Automatic Certificate Management Environment), que ayudará a automatizar la recepción de certificados SSL. Te diremos cómo funciona.


/ Flickr / Cliff Johnson / CC BY-SA

¿Por qué necesitabas un estándar?

En promedio, un administrador puede pasar de una a tres horas configurando un certificado SSL para un dominio. Si comete un error, tendrá que esperar hasta que la solicitud sea rechazada, solo después de eso puede volver a enviarse. Todo esto dificulta la implementación de sistemas a gran escala.

El procedimiento de validación de dominio para cada autoridad de certificación puede variar. La falta de estandarización a veces conduce a problemas de seguridad. Hay un caso conocido cuando, debido a un error en el sistema, una CA verificó todos los dominios declarados. En tales situaciones, los certificados SSL se pueden emitir a recursos fraudulentos.

El protocolo ACME aprobado por IETF (especificación RFC8555 ) debería automatizar y estandarizar el proceso de obtención de un certificado. Y la eliminación del factor humano ayudará a aumentar la confiabilidad y seguridad de la verificación de nombres de dominio.

El estándar es abierto y todos pueden contribuir a su desarrollo. El repositorio de GitHub ha publicado instrucciones.

Como funciona

El intercambio de solicitudes en ACME ocurre a través de HTTPS utilizando mensajes JSON. Para trabajar con el protocolo, debe instalar un cliente ACME en el nodo de destino, genera un par de claves único cuando se contacta por primera vez con la CA. Posteriormente, se utilizarán para iniciar sesión en todos los mensajes de cliente y servidor.

El primer mensaje contiene información de contacto sobre el propietario del dominio. Se firma con una clave privada y, junto con la clave pública, se envía al servidor. Verifica la autenticidad de la firma y, si todo está en orden, comienza el proceso de emisión de un certificado SSL.

Para obtener un certificado, el cliente debe demostrar al servidor el hecho de la propiedad del dominio. Para hacer esto, realiza ciertas acciones que solo están disponibles para el propietario. Por ejemplo, una autoridad de certificación puede generar un token único y pedirle al cliente que lo publique en el sitio. A continuación, la CA genera una consulta web o DNS para recuperar la clave de este token.

Por ejemplo, en el caso de HTTP, la clave del token debe colocarse en un archivo que será servido por el servidor web. Durante la verificación de DNS, el centro de certificación buscará una clave única en el documento de texto del registro DNS. Si todo está en orden, el servidor confirma que el cliente ha pasado la validación y la CA emite un certificado.


/ Flickr / Blondinrikard Fröberg / CC BY

Opiniones

Según el IETF, ACME será útil para los administradores que tienen que trabajar con múltiples nombres de dominio. El estándar ayudará a conectar cada uno de ellos con el SSL necesario.

Entre las ventajas del estándar, los expertos también señalan varios mecanismos de seguridad . Deben asegurarse de que los certificados SSL se emitan solo a los verdaderos propietarios de dominio. En particular, se utiliza un conjunto de extensiones DNSSEC para proteger contra ataques DNS, y para proteger contra DoS, el estándar limita la velocidad de las solicitudes individuales, por ejemplo, HTTP para el método POST . Los propios desarrolladores de ACME recomiendan agregar entropía a las consultas de DNS y realizarlas desde varios puntos de la red para aumentar la seguridad.

Soluciones similares

SCEP y EST también se utilizan para obtener certificados.

El primero fue desarrollado en Cisco Systems. Su objetivo era simplificar el proceso de emisión de certificados digitales X.509 y hacerlo lo más escalable posible. Antes de SCEP, este proceso requería la participación activa de los administradores del sistema y no escalaba bien. Hoy, este protocolo es uno de los más comunes.

En cuanto a EST, permite a los clientes PKI recibir certificados a través de canales seguros. Utiliza TLS para enviar mensajes y emitir SSL, así como para vincular CSR al remitente. Además, EST admite técnicas de criptografía elíptica, lo que crea una capa adicional de protección.

Según los expertos , las soluciones como ACME deberán distribuirse más ampliamente. Ofrecen un modelo de configuración SSL simplificado y seguro y aceleran el proceso.

Publicaciones adicionales de nuestro blog corporativo:

• Opciones de infraestructura de TI de la organización
• Copia de seguridad de archivos: cómo estar a salvo de la pérdida de datos
• Stand de formación para administradores: cómo ayudará la nube
• 1cloud Cloud Architecture Evolution