L'IETF a approuvé
la norme ACME (Automatic Certificate Management Environment), qui aidera à automatiser la réception des certificats SSL. Nous vous expliquerons comment cela fonctionne.
/ Flickr / Cliff Johnson / CC BY-SAPourquoi aviez-vous besoin d'une norme
En moyenne, un administrateur peut passer de une à trois heures à configurer un
certificat SSL pour un domaine. Si vous faites une erreur, vous devrez attendre que la demande soit rejetée, après quoi elle pourra être soumise à nouveau. Tout cela rend difficile le déploiement de systèmes à grande échelle.
La procédure de validation de domaine pour chaque autorité de certification peut varier. Le manque de normalisation entraîne parfois des problèmes de sécurité. Il existe un
cas connu où, en raison d'un bogue dans le système, une autorité de certification a vérifié tous les domaines déclarés. Dans de telles situations, des certificats SSL peuvent être émis pour des ressources frauduleuses.
Le protocole ACME approuvé par l'IETF (spécification
RFC8555 ) devrait automatiser et normaliser le processus d'obtention d'un certificat. Et l'élimination du facteur humain contribuera à accroître la fiabilité et la sécurité de la vérification des noms de domaine.
La norme est ouverte et chacun peut contribuer à son développement. Le
référentiel GitHub a publié des instructions.
Comment ça marche
L'échange de demandes dans ACME se produit sur HTTPS à l'aide de messages JSON. Pour travailler avec le protocole, vous devez installer un client ACME sur le nœud cible, il génère une paire de clés unique lors de votre premier contact avec l'autorité de certification. Par la suite, ils seront utilisés pour signer tous les messages client et serveur.
Le premier message contient des informations de contact sur le propriétaire du domaine. Il est signé avec une clé privée et, avec la clé publique, est envoyé au serveur. Il vérifie l'authenticité de la signature et, si tout est en ordre, entame le processus d'émission d'un certificat SSL.
Pour obtenir un certificat, le client doit prouver au serveur le fait de la propriété du domaine. Pour ce faire, il effectue certaines actions qui ne sont accessibles qu'au propriétaire. Par exemple, une autorité de certification peut générer un jeton unique et demander au client de le publier sur le site. Ensuite, l'autorité de certification génère une requête Web ou DNS pour récupérer la clé de ce jeton.
Par exemple, dans le cas de HTTP, la clé du jeton doit être placée dans un fichier qui sera servi par le serveur Web. Lors de la vérification DNS, le centre de certification recherchera une clé unique dans le document texte de l'enregistrement DNS. Si tout est en ordre, le serveur confirme que le client a réussi la validation et l'autorité de certification émet un certificat.
/ Flickr / Blondinrikard Fröberg / CC BYAvis
Selon
l' IETF, ACME sera utile pour les administrateurs qui doivent travailler avec plusieurs noms de domaine. La norme aidera à connecter chacun d'eux avec le SSL nécessaire.
Parmi les avantages de la norme, les experts notent également plusieurs
mécanismes de sécurité . Ils doivent s'assurer que les certificats SSL ne sont délivrés qu'aux vrais propriétaires de domaine. En particulier, un ensemble d'extensions
DNSSEC est utilisé pour se protéger contre les attaques DNS et pour se protéger contre DoS, la norme limite la vitesse des demandes individuelles - par exemple, HTTP pour la méthode
POST . Les développeurs d'ACME
recommandent eux-mêmes d'ajouter l'entropie aux requêtes DNS et de les exécuter à partir de plusieurs points du réseau pour accroître la sécurité.
Solutions similaires
SCEP et
EST sont également utilisés pour obtenir des certificats.
Le premier a été développé chez Cisco Systems. Son objectif était de simplifier le processus d'émission des certificats numériques X.509 et de le rendre le plus évolutif possible. Avant SCEP, ce processus nécessitait la participation active des administrateurs système et n'était pas très évolutif. Aujourd'hui, ce protocole est l'un des plus courants.
Quant à EST, il permet aux clients PKI de recevoir des certificats sur des canaux sécurisés. Il utilise TLS pour envoyer des messages et émettre SSL, ainsi que pour lier CSR à l'expéditeur. De plus, EST prend en charge les techniques de cryptographie elliptique, ce qui crée une couche de protection supplémentaire.
Selon
des experts , des solutions comme ACME devront être plus largement diffusées. Ils offrent un modèle de configuration SSL simplifié et sécurisé et accélèrent le processus.
Articles supplémentaires de notre blog d'entreprise: