IETF توافق على ACME - هذا هو المعيار للعمل مع شهادات SSL

وافق IETF على معيار بيئة إدارة الشهادات التلقائية (ACME) ، والذي سيساعد على أتمتة استلام شهادات SSL. سنخبرك كيف تعمل.


/ فليكر / كليف جونسون / CC BY-SA

لماذا تحتاج إلى معيار

في المتوسط ​​، يمكن للمسؤول قضاء من ساعة إلى ثلاث ساعات في إعداد شهادة طبقة المقابس الآمنة للمجال. إذا قمت بخطأ ما ، فسيتعين عليك الانتظار حتى يتم رفض الطلب ، إلا بعد تقديمه مرة أخرى. كل هذا يجعل من الصعب نشر أنظمة واسعة النطاق.

قد يختلف إجراء التحقق من صحة المجال لكل مرجع مصدق. عدم وجود توحيد يؤدي في بعض الأحيان إلى مشاكل أمنية. هناك حالة معروفة عندما تتحقق وحدة تحكم مرجعية واحدة من جميع المجالات المعلنة بسبب خلل في النظام. في مثل هذه الحالات ، يمكن إصدار شهادات SSL لموارد احتيالية.

يجب على بروتوكول ACME المعتمد من IETF (مواصفات RFC8555 ) أتمتة وتوحيد عملية الحصول على الشهادة. وسيساعد القضاء على العامل البشري على زيادة موثوقية وأمان التحقق من اسم النطاق.

المعيار مفتوح ، ويمكن للجميع المساهمة في تطويره. نشر مستودع GitHub التعليمات.

كيف يعمل؟

يحدث طلب تبادل في ACME عبر HTTPS باستخدام رسائل JSON. للعمل مع البروتوكول ، تحتاج إلى تثبيت عميل ACME على العقدة الهدف ، فإنه ينشئ زوج مفاتيح فريدًا عند الاتصال بـ المرجع المصدق أولاً. بعد ذلك ، سيتم استخدامها للتوقيع على جميع رسائل العميل والخادم.

تحتوي الرسالة الأولى على معلومات الاتصال الخاصة بمالك النطاق. يتم توقيعه باستخدام مفتاح خاص ، بالإضافة إلى المفتاح العمومي ، يتم إرساله إلى الخادم. يتحقق من صحة التوقيع ، وإذا بدأ كل شيء بالترتيب ، يبدأ عملية إصدار شهادة SSL.

للحصول على شهادة ، يجب على العميل أن يثبت للخادم حقيقة ملكية المجال. للقيام بذلك ، يقوم بتنفيذ بعض الإجراءات المتاحة فقط للمالك. على سبيل المثال ، قد ينشئ المرجع المصدق رمزًا مميزًا ويطلب من العميل نشره على الموقع. بعد ذلك ، ينشئ المرجع المصدق (CA) استعلام ويب أو DNS لاسترداد المفتاح من هذا الرمز المميز.

على سبيل المثال ، في حالة HTTP ، يجب وضع المفتاح من الرمز المميز في ملف يتم تقديمه بواسطة خادم الويب. أثناء التحقق من DNS ، سيبحث مركز إصدار الشهادات عن مفتاح فريد في المستند النصي لسجل DNS. إذا كان كل شيء على ما يرام ، فإن الخادم يؤكد أن العميل قد اجتاز عملية التحقق من الصحة وأن المرجع المصدق (CA) يصدر شهادة.


/ فليكر / بلوندينيكارد فروبرج / CC BY

الآراء

وفقًا لـ IETF ، ستكون ACME مفيدة للمسؤولين الذين يتعين عليهم العمل مع أسماء نطاقات متعددة. سيساعد المعيار على ربط كلٍّ منهما بـ SSL اللازم.

من بين مزايا المعيار ، يلاحظ الخبراء أيضًا العديد من آليات الأمان . يجب عليهم التأكد من أن شهادات SSL تصدر فقط لأصحاب النطاقات الحقيقيين. على وجه الخصوص ، يتم استخدام مجموعة من امتدادات DNSSEC للحماية من هجمات DNS ، وللحماية من DoS ، فإن المعيار يحد من سرعة الطلبات الفردية - على سبيل المثال ، HTTP لطريقة POST . يوصي مطورو ACME بأنفسهم بإضافة إنتروبيا إلى استعلامات DNS وتنفيذها من عدة نقاط على الشبكة لزيادة الأمان.

حلول مماثلة

تستخدم SCEP و EST أيضًا للحصول على شهادات.

تم تطوير الأول في Cisco Systems. كان هدفها تبسيط عملية إصدار الشهادات الرقمية X.509 وجعلها قابلة للتوسع قدر الإمكان. قبل SCEP ، تطلبت هذه العملية المشاركة الفعالة لمسؤولي النظام ولم يتم القياس جيدًا. اليوم ، هذا البروتوكول هو واحد من الأكثر شيوعا.

بالنسبة إلى EST ، يسمح لعملاء PKI باستلام شهادات عبر قنوات آمنة. يستخدم بروتوكول TLS لإرسال الرسائل وإصدار طبقة المقابس الآمنة (SSL) ، وكذلك ربط CSR بالمرسل. بالإضافة إلى ذلك ، تدعم EST تقنيات التشفير الإهليلجي ، مما يخلق طبقة إضافية من الحماية.

وفقًا للخبراء ، يجب توزيع حلول مثل ACME على نطاق أوسع. أنها توفر نموذج تكوين SSL مبسط وآمن وتسريع العملية.

مشاركات إضافية من مدونة الشركة:

• تنظيم خيارات البنية التحتية لتكنولوجيا المعلومات
• ملف النسخ الاحتياطي: كيف تكون في مأمن من فقدان البيانات
• موقف التدريب للمشرفين: كيف ستساعد السحابة
• 1cloud تطور العمارة السحابية