Die IETF hat
den ACME-
Standard (Automatic Certificate Management Environment) genehmigt, mit dessen Hilfe der Empfang von SSL-Zertifikaten automatisiert werden kann. Wir werden Ihnen sagen, wie es funktioniert.
/ Flickr / Cliff Johnson / CC BY-SAWarum brauchten Sie einen Standard?
Im Durchschnitt kann ein Administrator ein bis drei Stunden damit verbringen, ein
SSL-Zertifikat für eine Domain einzurichten. Wenn Sie einen Fehler machen, müssen Sie warten, bis der Antrag abgelehnt wird. Erst danach kann er erneut eingereicht werden. All dies macht es schwierig, große Systeme bereitzustellen.
Das Domain-Validierungsverfahren für jede Zertifizierungsstelle kann variieren. Mangelnde Standardisierung führt manchmal zu Sicherheitsproblemen. Es ist bekannt, dass eine Zertifizierungsstelle aufgrund eines Fehlers im System alle deklarierten Domänen überprüft hat. In solchen Situationen können SSL-Zertifikate für betrügerische Ressourcen ausgestellt werden.
Das von der IETF genehmigte ACME-Protokoll (
RFC8555- Spezifikation) sollte den Prozess der Erlangung eines Zertifikats automatisieren und standardisieren. Die Eliminierung des menschlichen Faktors wird dazu beitragen, die Zuverlässigkeit und Sicherheit der Überprüfung von Domainnamen zu erhöhen.
Der Standard ist offen und jeder kann zu seiner Entwicklung beitragen. Das
GitHub-Repository hat Anweisungen veröffentlicht.
Wie funktioniert es?
Der Anforderungsaustausch in ACME erfolgt über HTTPS mithilfe von JSON-Nachrichten. Um mit dem Protokoll arbeiten zu können, müssen Sie einen ACME-Client auf dem Zielknoten installieren. Bei der ersten Kontaktaufnahme mit der Zertifizierungsstelle wird ein eindeutiges Schlüsselpaar generiert. Anschließend werden sie zum Signieren aller Client- und Servernachrichten verwendet.
Die erste Nachricht enthält Kontaktinformationen zum Domaininhaber. Es wird mit einem privaten Schlüssel signiert und zusammen mit dem öffentlichen Schlüssel an den Server gesendet. Er überprüft die Echtheit der Signatur und beginnt, wenn alles in Ordnung ist, mit der Ausstellung eines SSL-Zertifikats.
Um ein Zertifikat zu erhalten, muss der Client dem Server die Tatsache des Domänenbesitzes nachweisen. Dazu führt er bestimmte Aktionen aus, die nur dem Eigentümer zur Verfügung stehen. Beispielsweise kann eine Zertifizierungsstelle ein eindeutiges Token generieren und den Client auffordern, es auf der Site zu veröffentlichen. Als Nächstes generiert die Zertifizierungsstelle eine Web- oder DNS-Abfrage, um den Schlüssel von diesem Token abzurufen.
Im Fall von HTTP muss beispielsweise der Schlüssel aus dem Token in einer Datei abgelegt werden, die vom Webserver bereitgestellt wird. Während der DNS-Überprüfung sucht das Zertifizierungszentrum im Textdokument des DNS-Eintrags nach einem eindeutigen Schlüssel. Wenn alles in Ordnung ist, bestätigt der Server, dass der Client die Validierung bestanden hat und die Zertifizierungsstelle ein Zertifikat ausstellt.
/ Flickr / Blondinrikard Fröberg / CC BYMeinungen
Laut IETF ist ACME für Administratoren nützlich, die mit mehreren Domänennamen arbeiten müssen. Der Standard hilft dabei, jeden von ihnen mit dem erforderlichen SSL zu verbinden.
Zu den Vorteilen des Standards zählen Experten auch verschiedene
Sicherheitsmechanismen . Sie müssen sicherstellen, dass SSL-Zertifikate nur an echte Domaininhaber ausgestellt werden. Insbesondere wird eine Reihe von
DNSSEC- Erweiterungen zum Schutz vor DNS-Angriffen verwendet, und zum Schutz vor DoS begrenzt der Standard die Geschwindigkeit einzelner Anforderungen - beispielsweise HTTP für die
POST- Methode. ACME-Entwickler selbst
empfehlen , DNS-Abfragen Entropie hinzuzufügen und diese an mehreren Stellen im Netzwerk auszuführen, um die Sicherheit zu erhöhen.
Ähnliche Lösungen
SCEP und
EST werden auch verwendet, um Zertifikate zu erhalten.
Die erste wurde bei Cisco Systems entwickelt. Ziel war es, die Ausstellung digitaler Zertifikate X.509 zu vereinfachen und so skalierbar wie möglich zu gestalten. Vor SCEP erforderte dieser Prozess die aktive Teilnahme von Systemadministratoren und war nicht gut skalierbar. Heute ist dieses Protokoll eines der häufigsten.
Mit EST können PKI-Clients Zertifikate über sichere Kanäle empfangen. Es verwendet TLS, um Nachrichten zu senden und SSL auszugeben sowie CSR an den Absender zu binden. Darüber hinaus unterstützt EST elliptische Kryptografietechniken, wodurch eine zusätzliche Schutzschicht entsteht.
Experten zufolge müssen Lösungen wie ACME weiter verbreitet werden. Sie bieten ein vereinfachtes und sicheres SSL-Konfigurationsmodell und beschleunigen den Prozess.
Zusätzliche Beiträge aus unserem Unternehmensblog: